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információ biztonságát algoritmikus, fizikai illetve rendszabályi 
technikák kombinálásával érhetjük el. A kriptográfia az algoritmi- 
kus biztonsági módszerek tudománya. 


A tankönyv célja a kriptográfia legfontosabb módszereinek elmé- 
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Előszó 


Az elmúlt 20 év alatt a kriptográfia terén végzett nyilvános kutatás robba- 
násszerű fejlődésen ment keresztül. Ennek a folyamatnak a hátterében alap- 
vetően az áll, hogy az információs technológiák egyre mélyebben behatoltak 
a gazdaságokba, azok motorjaivá lettek, s ezeken keresztül az egyes egyén 
mindennapi életét is átszövik az információ elektronikus tárolásával, továb- 
bításával és feldolgozásával kapcsolatos feladatok. Az információ gyakran 
érzékeny abban az értelemben, hogy annak illetéktelen megismerése, csalárd 
célú módosítása anyagi, erkölcsi kár okozására, jogosulatlan előnyszerzésre 
ad módot. A biztonság az információs technológiák alkalmazhatóságának 
alapvető kritériumává vált. Az információ biztonságát algoritmikus, fizikai, 
illetve rendszabályi technikák kombinálásával érhetjük el. A kriptográfia az 
algoritmikus biztonsági módszerek tudománya. 

"TTankönyvünk célja a kriptográfia legfontosabb módszereinek elméleti tag- 
lalása, s azok tipikus alkalmazásainak bemutatása olyan mélységben, amely 
— a tankönyv keretei és az adott feladatok önmagukban vett nehézsége rmel- 
lett — eljuttatja az olvasót a tervezés és minősítés gyakran igen nehéz techni- 
káihoz is. Mindezek alapos elsajátítását számos kidolgozott példa, s felada- 
tok tára is támogatja. A cél — természetesen — nem kriptográfusok képzése, 
ugyanakkor a megoldások elméleti hátterének, feltételrendszerének alapos 
ismerete nélkül információs biztonsági. területen bárminemű alkalmazásba 
fogni vagy létező alkalmazás biztonságát megítélni megalapozatlan, s nem 
tanácsos. Tankönyvünk törzsanyagának megcélzott olvasóközönsége első- 
sorban a felsőfokú informatikai oktatás hallgatósága. A könyv anyaga azon- 
ban ezen túlmutat, s néhány speciális elméleti terület (pl. a bizonyítható biz- 
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tonság elmélete vagy a kriptográfiai protokollok formális analízise), illetve 
a feladattár nehezebb problémái szakszemináriumok anyagát is alkothatják. 
Készséggel elismerjük, hogy nem volt — s nem is lehetett — célunk vala- 
mennyi élő, izgalmas területet lefedni a kriptográfia elmélete és alkalmazá- 
Sai teljes spektrumában, s igyekeztünk lehetőleg olyan területeken maradni, 
amelyek valamennyire kötődnek oktatási és kutatási preferenciáinkhoz. A 
tankönyv alapvetően elméleti indíttatású, s így a biztonságos implementá- 
lás kérdéskört nem érinti, bár tudatában vagyunk annak a ténynek, hogy a 
napi biztonsági problémák nagyrészt implementációs hibákból származnak, 
s nem az elméleti építőelemek hibáiból. Ugyanakkor meg vagyunk győződve 
arról, hogy az elméleti háttér alapos megértése hosszabb távra érvényes, bíz- 
tosabb fogódzót jelent az alkalmazónak az efféle hibák elkerülésére. 

A tananyag gerincét a kriptográfiai algoritmusok elméleti taglalása képezi. 
A kriptográfiai algoritmusok építőelemei a kriptográfiai primitívek és proto- 
kollok. A tankönyvben nagy súllyal szerepel ezen építőelemek elméleti meg- 
alapozása, azok reprezentánsainak bemutatása, valamint a különböző kap- 
csolatos algoritmikus támadási módszerek taglalása. A támadások kérdés- 
köre rendkívül fontos a kriptográfiában, hiszen a biztonságot a támadásokkal 
szembeni ellenállóképesség mértéke adja. A bizonyítható biztonság modern 
elmélete önálló részként szerepel a könyvben. Az elméleti részek megér- 
tését nagyszámú példával kívántuk segíteni. Ezen elméleti alapokra építve 
mélyebben megérthetők az alkalmazási példák, melyeket az internetes és a 
mobil hálózatokban használt biztonsági protokollok, illetve az elektronikus 
fizetési protokollok köréből vettük. 

A könyv négy nagy részre tagolódik. Az I. rész a kriptográfiai primití- 
veket taglalja klasszikus felfogásban. Az alapfogalmak bevezetése után a 
szimmetrikus valamint az aszimmetrikus kulcsú rejtjelezők tervezési mód- 
szereit, legfontosabb képviselőit tárgyaljuk. Bemutatjuk a differenciális és 
a lineáris kriptanalízis alapjait, melyek a ma ismert legerősebb általános tá- 
madási módszerek szimmetrikus kulcsú rejtjelezők ellen. A leggyakrabban 
alkalmazott aszimmetrikus kulcsú rejtjelező, az RSA számos támadását is 
elemezzük. Az elliptikus görbéken alapuló tervezés elméleti hátterébe is be- 
tekintést adunk. Szintén az I. részben taglaljuk még a kriptográfiai tömörítő 
függvények tervezésének alapjait. 

A II. részben a korábban bevezetett kriptográfiai primitívekre épülő leg- 
fontosabb kriptográfiai alapprotokollokat mutatjuk be, amelyek már önma- 
gukban is használhatók bizonyos biztonsági szolgátatások megvalósítására, 
de sokszor más, komplexebb feladatot ellátó protokollok építőelemeiként ke- " 
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rülnek alkalmazásra. Részletesen tárgyaljuk a blokkrejtjelezők gyakorlatban 
használt működési módjait, elemezve az egyes módok hátrányait és előnyeit. 
Bemutatjuk a kriptográfiai tömörítő függvényekre épülő üzenethitelesítési 
technikákat, az üzenethitelesítő kódok konstrukcióit. Ebben a részben tár- 
gyaljuk a digitális aláírás protokollokat is, részletesen bemutatva azok biz- 
tonsági követelményeit és a gyakorlatban használt , tömörít és aláír" para- 
digma elvét. Végül, de nem utolsó sorban, a partner-hitelesítést és a kripto- 
gráfiai kulcsok gondozását támogató protokollok kerülnek bemutatásra, el- 
sősorban a szimmetrikus kulcsok biztonságos cseréjére koncentrálva. Ezek 
már többszereplős, általában többlépéses üzenetcserét alkalmazó protokol- 
lok, s bár szerkezetük könnyen áttekinthető, tervezésük meglepően sok hiba- 
lehetőséget rejt magában. Az egyes protokollok elleni támadások részletes 
elemzésén keresztül így betekintést nyerhetünk ezen protokollok tervezésé- 
nek elméleti hátterébe. 

Könyvünk III. része kriptográfiai alkalmazásokkal foglalkozik. Természe- 
tesen igényes alapossággal a lehetséges alkalmazások teljes spektrumát nem 
lehet lefedni egy részben, de talán még egy teljes könyvben sem. Ugyanak- 
kor úgy érezzük, hogy a valós alkalmazások tervezése, bevezetése és haszná- 
lata során nyert tapasztalatok igen hasznosak lehetnek a tankönyv által meg- 
célzott olvasóközönség, az informatikus hallgatók számára, hiszen nagy va- 
lószínűséggel valamilyen szinten maguk is hamarosan kapcsolatba kerülnek 
kriptográfiai alkalmazásokkal. Ezért a III. rész a lehetséges alkalmazásoknak 
egy általunk érdekesnek és fontosnak tartott részét mutatja be. A bemutatott 
alkalmazások három témakörbe csoportosíthatók: internetes biztonsági pro- 
tokollok, vezetéknélküli (mobil) távközlő hálózatokban alkalmazott bizton- 
sági protokollok és az elektronikus kereskedelemben használt vagy tervezett 
kriptográfiai fizetési protokollok. 

A IV. rész egyik fő célja a modern kriptográfia bizonyítható biztonság fo- 
galmainak, főbb elméleti eredményeinek, konstrukcióinak megismertetése. 
Bonyolultság-elméleti megközelítésben kerül bevezetésre az. egyirányú 
függvény, majd erre építve az álvéletlen bitgenerátor, az álvéletlen függvény 
és álvéletlen permutáció fogalma. Itt kerülnek bevezetésre azon biztonsági 
fogalmak és támadási modellek, amelyek mellett a bizonyítható biztonság el- 
mélete és technikái bizonyítást adnak algoritmusok támadhatatlanságára. Be- 
mutatjuk a véletlen orákulum modellben történő bizonyítási technikákat is. 

A fejezetek túlnyomó többségének végén, a fejezet anyagához kapcsolódó 
feladatokat tűztünk ki. Igazából akkor sajátította el az olvasó az anyagot, ha 
megbirkózik a kitűzött feladatokkal is. A legtöbb feladat megoldását a könyv 
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végén, külön fejezetben közöljük. Azon feladatokat, melyek megoldása nem 
került bele a könyvbe, "-gal jelöltük meg. 

Végül, szeretnénk megköszönni Ádám Zsolt, Árendás Csaba, Bacsárdi 
László, Debrei Gábor, Erős Tamás, Frajka Tamás, Holczer Tamás, Maschek 
Ádám, és Patakfalvi Tamás segítségét, akik drága idejüket feláldozva átol- 
vasták a könyv kéziratának korábbi változatait, és megjegyzéseikkel, észre- 
vételeikkel segítették a könyv színvonalának emelését. Külön köszönet jár 
Frajka Tamásnak, aki ezen túlmenően hasznos tanácsokkal segítette mun- 
kánkat, és odaadó segítséget nyújtott a kézirat szerkesztésében is. Hálásak 
vagyunk továbbá Szabó Istvánnak, a könyv lektorának hasznos észrevételei- 
ért, melyeket igyekeztünk figyelembe venni a végső változat elkészítésénél. 


Budapest, 2004. február 9. Buttyán Levente és Vajda István 
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Kriptográfiai primitívek 


1. 


Alapfogalmak 


A kriptológia klasszikusan a titkos kommunikáció tudománya, amelynek két 
fő ága a kriptográfia és a kriptoanalízis. A kriptográfia azon algoritmikus 
módszerekkel foglalkozik, amelyek biztosítják az üzenetek (tárolt informá- 
ciók) titkosságát vagy hitelességét. A kriptoanalízis a titok megfejtésére szol- 
gáló módszerek tudománya. Az információk védelmi rendszerének az algo- 
ritmikus módszerek általában csak az egyik pillérét jelentik, amelyek meg- 
felelő fizikai védelemmel valamint ügyviteli-rendszabályi eljárások alkalma- 
zásával együtt biztosíthatják a valóságos rendszerekben az információvédel- 
met. A kriptográfia az algoritmikus módszerek alapja. 





ky 


k, 


támadó 
1.I. ábra. A rejtjelezés modellje 


A rejtjelezés modelljét az 1.1. ábrán vázoltuk. Tegyük fel, hogy egy üze- 
netküldő szeretné átküldeni üzenetét egy olyan kommunikációs csatornán, 
amelyről feltételezhető, hogy nem biztonságos, abban az értelemben, hogy 


egy, a csatornán , hallgatózó" illetéktelen személy képes a csatornán átha- 
ladó biteket megfigyelni. Az üzenetet küldő szeretné megakadályozni, hogy 
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ez a személy illetéktelenül elolvassa az üzenetét, azaz szeretné az üzenetet 
rejtjelezni. 

A rejtjelezéshez az információforrás kimenetét rögzített hosszúságú sze- 
letekre vágjuk, és ezekre sorban alkalmazzuk a rejtjelező kódolást. Amikor 
a rejtjelező transzformáció az egyes szeletekre azonosan, a megelőző mű- 
ködésétől függetlenül, memóriamentesen történik, akkor blokkrejtjelezésről 
beszélünk. Blokk rejtjelezés esetén a rejtjelezendő szeletet üzenetblokknak, 
a rejtjelezettjét rejtett (üzenet) blokknak hívjuk. A teljes üzenet tradicionális 
neve a nyílt szöveg, a rejtett üzeneté a rejtett szöveg. 

Az úgynevezett kulcsfolyamatos rejtjelezésnél a rejtjelező kódoló műkö- 
dése időfüggő, a kódoló memóriájában tárolt állapot által is meghatározott. 
Egy lépésben egy bit vagy néhány bit által meghatározott karakter kerül kó- 
dolásra. A továbbiakban alapvetően blokkrejtjelezőkkel foglalkozunk, de ta- 
lálkozni fogunk a kulcsfolyamatos rejtjelezők példáival is, mint az alábbiak- 
ban ismertetésre kerülő one-time-pad, vagy kimenet-visszacsatolásos mód- 
ban (OFB mód) alkalmazott blokk rejtjelező. 

Legyen a csatornán átküldendő x üzenet egy blokk méretű, amelyet egy 
blokk méretű y rejtett üzenetbe kódolunk: 


y-Enb) 


ahol E,, egy ki paraméterű rejtjelező (kódoló) transzformáció, amely bijek- 
tív a ki paraméter tetszőleges rögzített értéke mellett. A ki bináris vektor a 
rejtjelezés kulcsa, az információ, amely meghatározza (kiválasztja) az aktu- 
ális rejtjelező transzformációt. A kódoló transzformáció inverze a Dr, dekó- 
doló transzformáció, amely egy y rejtett üzenetet egyértelműen leképez egy 
x üzenetbe egy k2 dekódoló kulcs felhasználásával: 


x—DiWy) 


Ha ki — k2, akkor szimmetrikus kulcsú (konvencionális vagy titkos kul- 
csú) rejtjelezésről beszélünk. A közös titkos kulcsot a kódoló és a dekódoló 
között a rejtjelezést megelőzően biztonságosan ki kell cserélni. 

A ki / ka eset az aszimmetrikus kulcsú rejtjelezés. Az 1970-es évek vé- 
gétől kezdődően rohamosan fejlődik az ide tartozó nyilvános kulcsú rejtjele- 
zők (és általában az úgynevezett nyilvános kulcsú algoritmusok) családja. A 
nyilvános kulcsú titkosítás alapgondolata, hogy megoldható egy titkos üze- 
netküldés anélkül, hogy ezt megelőzően a kommunikáló partnerek bármiféle 
titkos kulcsot cseréltek volna egymással. ki 
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Minden rendszerbeli résztvevőhöz tartozik egy kulcspár: a ks — k?P nyilvá- 
nos kódoló kulcs (nyilvános kulcs), valamint a ka — k" titkos dekódoló kulcs 
(titkos kulcs). Az egyes felhasználók maguk generálhatják a (KP, k") kulcs- 
párjukat, amelyből a nyilvános részt közzéteszik, a másikat titokban tartják. 
Egy A, BC, . . . résztvevőket tartalmazó rendszerben a kZ,kp,kC, . . . nyilvá- 
nos kulcsokat egy nyilvános kulcstárba teszik le, amelyet bárki olvashat. Ha 
A szeretne egy x üzenetet rejtjelezetten küldeni B-nek, akkor kiolvassa nyil- 
vános kulcsok tárából a k; kódoló kulcsot és az 


y-E(x) 


rejtett üzenetet küldi B-nek, ahol kf a B résztvevő nyilvános kódoló kulcsa. 
Ezen y rejtett üzenetből 
x-Dyl) 


dekódolással nyeri ki B az x üzenetet. A kódolás a nyilvános kulcs ismereté- 
ben , könnyű" feladat, míg a dekódolás a rejtett kulcs ismeretének hiányában 
gyakorlatilag nem végrehajtható (, nehéz feladat"). 

Rejtjelezésre (és kriptográfiára) azért van szükség, mivel feltételezhető 
egy támadó. Alapfeltételezés a támadó ismereteivel kapcsolatosan az, hogy 
a titkos X kulcs kivételével a kódolás, dekódolás alkalmazott algoritmusát tel- 
jes részletességgel ismeri. Ez a feltételezés azt is jelenti, hogy nem függhet 
a rejtjelezés nyújtotta biztonság attól, hogy eltitkoljuk az algoritmusunkat. 
Egyszerűen szólva mindenki rendelkezésére állhat, például, ugyanaz a szoft- 
ver implementáció. Súlyos történelmi példák vannak ezen feltétel figyelmen 
kívül hagyására. Ez azt is jelenti, hogy egy rejtjelező algoritmus által nyújtott 
védettség nem haladhatja meg a (titkos) kulcsa védettségének mértékét. A 
(titkos) kulcs tehát az a relatíve kisméretű titkos információ, amely gyorsan 
és kívánatosan megfelelő időközönként cserélhető, míg a rejtjelező rendszer 
többi, elemét hosszabb ideig nem szükséges változtatni. 

A támadó által alkalmazható módszerek közül csak az algoritmikus típusú 
támadási módszereket tekintjük a továbbiakban (emellett elképzelhetők to- 
vábbi módszerek, pl. betörés, megvesztegetés, szabotázs stb.). Az algoritmi- 
kus típusú támadásnak passzív és aktív módját különböztetjük meg, amelyet 
a nyilvános csatornán hajt végre a támadó. 

Passzív módszer a már említett lehallgatás, amikor a támadó a nyilvá- 
nos csatornán áramló rejtett üzenetek sorozatának birtokába jut. A támadó 
célja az, hogy egy megfigyelt rejtjelezett kapcsolatból kinyert információk 
felhasználásával algoritmikus támadást indítson az üzenet vagy az aktuális 
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titkos kulcs meghatározására. Ezt az eljárást szokás rejtjelfejtésnek nevezni, 
amelynek eszköztárát a kriptoanalízis adja. 

A passzív típusú támadásokat azok növekvő ereje szerint klasszikusan a 
következő kategóriákba soroljuk: 


1. Támadás azonos kulccsal kódolt rejtett üzenetek birtokában, amit rejtett 
szövegű támadásnak nevezünk (ciphertext only attack). 

2. Támadás azonos kulccsal kódolt nyílt-rejtett párok birtokában, amit is- 
mert nyílt szövegű támadásnak hívunk (known plaintext attack). 


3. Támadás abban az esetben, ha a támadó maga választhatja meg a nyílt 
(rejtett) üzeneteket, amelynek rejtett (nyílt) párját látni szeretné, amit vá- 
lasztott szövegű támadásnak nevezünk (chosen text attack). 

Aktív támadási módszer a rejtett üzeneteknek vagy részeinek csatornában 
történő törlése, kicserélése, módosítása, amelynek célja a dekódolt üzenet 
támadó szempontjából kedvező, észrevétlen módosítása (üzenetmódosítás). 
Egy másik aktív támadási módszer az, amikor a támadó megpróbálja egy 
legális felhasználó szerepét eljátszani azért, hogy valamely másik legális 
résztvevőtől információt csaljon ki (megszemélyesítés). Még számos aktív 
támadási módszer ismeretes a rejtjelkulcsok, illetve a nyílt üzenet illetékte- 
len megismerésére, melyek az adott alkalmazásoktól függenek (pl. program- 
beépülés, a kulcshordozó olvasója és a felhasználói processz közötti kommu- 
nikáció lehallgatása, titkos kulcsokra vonatkozó következtetés áramfelvétel 
méréséből vagy futási idők analizálásából, stb.). 

Egy üzenet titkossága azt jelenti, hogy csak a kívánt partner számára re- 
konstruálható annak nyílt tartalma. Egy dekódolt üzenet hitelessége azt je- 
lenti, hogy a kódolt üzenet módosítatlanul, eredeti állapotában érkezett meg 
a dekódolóhoz, s a tartaimából kiderülő partner küldte. Szemléletes példával 
illusztrálva: ha a postás felbontja a levelet, akkor annak tartalma már nem 
titok, de ha a levél tartalmát nem módosítja, s úgy kézbesíti, az üzenet még 
hiteles marad. 

Azt mondjuk, hogy a támadó feltörte a titkosító algoritmust, ha , gyor- 
san" meg tudja állapítani egy lehallgatott üzenet nyílt tartalmát, függetlenül 
attól, hogy éppen melyik kulcsot alkalmazzák. A gyorsaság olyan időinter- 
vallumot jelent, amelyen belül a támadó sikeresen használhatja céljaira a 
megszerzett információt. 

A rejtjelezés célja alapvetően a passzív támadások megakadályozása. Az 
aktív típusú támadásokat algoritmikus eszközökkel nem tudjuk megakadá- 
lyozni, de megfelelő kriptoprotokoliok alkalmazásával a támadást észreve- 
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hetővé tehetjük. A protokollok általában véve egy előre meghatározott üze- 
netcsere folyamatot jelentenek, amelyet kettő vagy több partner bonyolít le 
kooperatívan valamely feladat végrehajtására. A kriptográfiai protokollok 
építő elemként használják (többek között) a rejtjelező kódolót, s biztosít- 
ják a kapcsolat védett felépülését, a kommunikáció alatti aktív támadások 
észlelhetőségét, összességében garantálják a partnerek és üzenetfolyamataik 
hitelességének ellenőrizhetőségét. 

Azt mondjuk, hogy egy biztonsági algoritmus feltétel nélkül biztonságos, 
ha a támadó tetszőleges számítási kapacitás (erőforrás) mellett sem képes 
feltörni azt. Ennek ellentéte a feltételes (algoritmikus) biztonság, amikor az 
algoritmus mindaddig biztonságos, amíg a támadó erőforrása egy megadott 
korlát alá esik. Minden gyakorlati biztonságot nyújtó rejtjelezés törhető ki- 
merítő kulcskereséssel. Az egyetlen ismert feltétel nélkül biztonságos rejt- 
jelező algoritmus az egyszer használatos kulcsú rejtjelező, a one time pad 
(OTP). Ez tehát akkor sem törhető, ha végig tudnánk próbálni a kulcstér ösz- 
szes elemét. 


1.1. Feltétel nélkül biztonságos rejtjelezés: a One-Time-Pad 


Jelölje X és K az üzenet és a kulcs valószínűségi változókat, amelyek egy 
realizációja x és k az aktuális üzenet és kulcs. Természetes feltevés, hogy 
X és K független valószínűségi változók. Az Y rejtett üzenet valószínűségi 
változót a kódoló transzformáció definiálja, mely legyen a következő: 





Y—(X-4K) mod 2 


ahol X, Y, K bináris N bites vektorok, s az összeadás koordinátánkénti mod 2 
művelettel történik. X egyenletes eloszlású az N bites vektorok halmazán. Ez 
a kódolás a One-Time Pad. 


1.1. Definíció (Tökéletes titkosítás). Akkor beszélünk tökéletes titkosításról, 
ha az X és Y valószínűségi változók statisztikailag függetlenek, azaz kölcsö- 
nös információjuk zérus, I(X,Y) — 0. 


Lehallgató támadót tételezünk fel, azaz csak rejtett üzenetek állnak a tá- 
madó rendelkezésére. A rejtjelezés tökéletessége azt jelenti, hogy ezen tá- 
madó a megfigyelt rejtett szövegek alapján, erőforrásától függetlenül nem 
képes a nyílt szöveg megfejtésére. 


1.2. Tétel. A One-Time Pad tökéletesen titkosító algoritmus. 
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Bizonyítás: Azt kell belátnunk, hogy a One-Time Pad esetén X és Y függet- 
lenek: 


Pr(Y —y]lX—x)—P(X-4K—y]X —x) 
— Prí(k —y—x]lX —x) 
—Pr(K—y-—x) 
zzN 
ahol felhasználtuk X és Z függetlenségét. Innen 
Prf(Y. —y) — EPH(X-4K—yIX —x) Pr(X—x) 
x 


z27N 
zPrf(Y-ylx —x) 
adódik, következésképpen X és Y függetlenek. [ni 


Vegyük észre, hogy X és Y függetlenségéhez nem kellett semmit sem 
feltételezni X eloszlásáról, továbbá azt, hogy Y eloszlása egyenletes lesz. 
Azonban ahhoz, hogy a szóban forgó kódolás realizálható legyen, minden 
egyes üzenet kódolásához véletlenül sorsolt új kulcs szükséges. Ezt az állí- 
tást pontosítja a következő tétel, amely szerint a tökéletes titkosítás szüksé- 
ges feltétele az, hogy a K kulcs entrópiája ne legyen kisebb, mint az X üzenet 
entrópiája: 

1.3. Tétel. Tökéletes titkosító algoritmus esetén 
H(K)2 HG) 
Bizonyítás: Az entrópia tulajdonságainak felhasználásával 
H(X) — H(XIY)-4I(X;Y) — H(XIY) 4-0 — H(XIY) 
továbbá 

H(XIY) S H(X,KIY) — H(KIY)--H(XIY,K) — H(KIY) £ H(K), 
ahol felhasználtuk az X — D,(Y) determinisztikus leképezés alapján fennálló 
H(XIY,K) — 0 egyenlőséget. im] 

AK kulcs valószínűségi változó egyenletes eloszlását figyelembe véve 


H(X) s IK], 
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ahol IK] a bináris kulcs hossza. Gyakorlati következmény, hogy érdemes tö- 
möríteni az információforrás kimenetét az OTP kódolást megelőzően, hogy 
minimalizáljuk a felhasznált kulcsbitek számát. 


1.2. Feltétel nélkül biztonságos hitelesítés 


Egyszer használatos kulcsokkal a feltétel nélkül biztonságos hitelesítés fel- 
adat is megoldható. Tegyük fel, hogy A és B résztvevők közti párkommuni- 
kációban az A által B-nek küldött x üzenet csatornabeli módosítását szeret- 
nénk detektálhatóvá tenni B oldalon. Ehhez egy F(x,k) kriptográfiai ellen- 
őrzőösszeggel kiegészítjük az üzenetünket az A oldalon, ahol F az ellenőr- 
zőösszeg képző függvény, amelynek bemenete az x üzenet és a k kulcs. A 
B oldal a kulcs és az üzenet ismeretében újragenerálja az ellenőrzőösszeget, 
s egybeveti azt a vett ellenőrzőösszeggel. A két ellenőrzőösszeg különböző- 
sége jelenti a támadás detektálását. Tekintsük az alábbi F leképezést: 


F(x, lab) — ax--b (mod p), a.) 


ahol 0 £ x, a,b £ p, a és b az egyszer használatos k kulcs részei, továbbá 
p egy nyilvános nagy prímszám. A támadó a csatornában megfigyeli az 
[, F(x,k)], hitelesítő kódolással ellátott üzenetet, s megpróbálja úgy mó- 
dosítani, hogy az észrevétlen maradjon a vételi oldalon. Ennek elérésére sze- 
retné egy csaló x/ üzenethez a helyes 


W-alib (mod p) a.2 


ellenőrzőösszeget előállítani. Nem nehéz látni, hogy W különböző lehetsé- 
ges értékeihez (0 C W c p) egyértelműen létezik a, b pár (kulcs), amely 
kielégíti a (1.1), (1.2) egyenletek rendszerét. Mivel a kulcs választása egyen- 
letes eloszlású, a támadó legjobb stratégiája is csak az lehet, hogy 1 /p siker- 
valószínűséggel találgat a helyes W ellenőrzőösszegre. 

Vegyük észre, hogy teljesen analóg ezen aktív támadó helyzete az OTP 
rejtjelezés passzív támadójáéhoz. Az OTP esetén a támadó a kulcstér mére- 
tének reciproka valószínűséggel találgathatott az üzenetre, mivel tetszőleges 
üzenet egyértelműen meghatározott egy kulcsot, amely utóbbi viszont a tá- 
madó számára véletlenül került kiválasztásra. 

Az (1.1) ellenőrzőösszeg fenti aktív támadása üzenetmódosító támadás. 
Mi történne, ha megszemélyesítő támadással próbálkozna a támadó, azaz A 
nem küld üzenetet B-nek, hanem a támadó próbálna egy csaló x üzenetet a 
nevében elküldeni? Ekkor hiányzik az (1.1) megkötés, s az (1.2) egyenlet bal 
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oldalát szeretné helyesen megválasztani. A helyes F leképezés az x üzenetet 
a véletlenszerűen választott kulccsal véletlenszerű ellenőrzőöszegbe képezi, 
azaz a támadó szemében a (0), 1, ..., p— 1) halmazból egy elem (a helyes el- 
lenőrzőösszeg) egyenletes eloszlással kerül kisorsolásra. Következésképpen 
a megszemélyesítő támadás sikervalószínűsége szintén 1/p. 


Láttuk tehát, hogy létezik ideális megoldás mind a rejtjelezés, mind az 
üzenenethitelesítés feladatra. Mi indokolja ezek után a probléma további 
vizsgálatát, azaz mi szükség van a könyvünk további fejezeteire? A válasz: 
ezen megoldások a gyakorlat számára nem kielégítők. Az egyszer haszná- 
latos kulcs a gyakorlati alkalmazásokban szokásos üzenetforgalom, résztve- 
vők nagy száma (hálózatok) mellett megoldhatatlan, irreálisan nagy költségű 
lenne. Az OTP kódolás védtelen rejtjeles üzenetet módosító támadás ellen. 
Az (1.1) szerinti ellenőrzőösszeg bitmérete az üzenetével megegyező, s ez a 
gyakorlatban nem megengedhető. Ezenfelül számos további biztonsági prob- 
lémához is szükséges algoritmusok kidolgozása, mint például a letagadhatat- 
lanság problémája. 


1.3. Feladatok 

1.1. Feladat. Tekintsük az y — ax-t-b (mod N) betűnkénti lineáris rejtjele- 
zést, ahol N az ábécé mérete. 

1. Hány lineáris transzformáció van, ha N — 26,27,30? 


2. x a transzformáció fixpontja, ha y — x teljesül. Legyen a 5 1. Mutassuk 
meg, hogy ha N prímszám, akkor pontosan egy fixpont van! 


3. Adjunk meg olyan N értéket, amelyre nincs fixpontja a transzformáció- 
nak. 


1.2. Feladat. Egy egyszerű lineáris rejtjelezőt konstruálunk az 
y-ax-tb (modN) 


lineáris transzformációval, ahol a és b a kulcs részei, x a nyílt szöveg, y a 
rejtett szöveg, továbbá N az ábécé mérete. 


1. Adja meg a kulcstér méretét, ha N — 26! 
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2. A kulcsot szeretnénk megfejteni. Tegyük fel, hogy a forrás ideálisan tömö- 
rített, s így véletlen forrásként modellezhető. Rejtett szövegű támadásban 
is gondolkodhatunk? 


3. Milyen információt kellene birtokolnunk egy véletlen forrás esetén a si- 
keres támadáshoz? 


4. Mit mondhatunk az esetben, ha a forrás írott szöveg, s ismerjük a karak- 
terek gyakoriságát? 


1.3. Feladat. Írott szövegek rejtjelezését betűpárokra alkalmazott lineáris 
rejtjelezéssel végezzük: y — ax-t-b (mod N?), ahol a és b a kódoló kulcs ele- 
mei, (a, N) — 1, továbbá N az ábécé mérete. Az ábécé elemeit a 9 (1ka ERERESY , Éesi 
1) halmaz elemeinek feleltetjük meg. A nyílt és rejtett szöveg, azaz x illetve 
ya (0,1,..., N2 — 1), halmazból veszi értékét, olyan módon, hogy egy (u,v) 
forrás-betűpárt az uN -- v egészbe képezve áll elő egy x nyílt szöveg. AZ 
y rejtett szöveget továbbítás előtt visszaképezzük betűpárba. A betűpárok 
összefogásától azt várjuk, hogy a rejtett szövegben az egyenletesebb betű- 
pár gyakoriság érvényesüljön a gyakran nagyon inhomogén betűgyakoriság 
esetén is, ezáltal csökkentve egy statisztikai alapú támadás esélyét. Helyes-e 
ezen várakozásunk? 


1.4. Feladat. Tekintsük a következő kulcsfolyamatos rejtjelezést. A nyílt 
szöveg (x), a rejtett szöveg (y), továbbá a kulcs (X) karakterei az N — (0, 1, 
2, . .. ,1— 1) halmazból származnak. A k kulcs az alábbi rekurzióval definiált 


sorozat: 

FREI éj hai—1 

1 r-kioa-txini (mod n)hais1" 

ahol r a kódolás előtt sorsolt véletlen elem az N halmazból, ami közös titkot 
képez a kommunikáló felek között. Az x — x1,X2, . . . , Xi, . .. nyílt szöveget az 
y 7 y1,y2,:.. Ji, . . . rejtett szövegbe az yi — xj-tk; (mod n), i 5 1 transzfor- 
mációval kódoljuk. 
1. Ideális-e ez a rejtjelezés? 
2. Adjon meg választott nyílt szövegű támadást a rejtjelező ellen. 


3. Ha a kommunikációs csatornában az y; karakter meghibásodik, mi a kö- 
vetkezménye a dekódoló kimenetén? 
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1.5. Feladat. Kriptográfiai alkalmazásunkban egy véletlen bitsorozatra van 
szükségünk, de csak hamis pénz áll a rendelkezésünkre, amely nagyobb va- 
lószínűséggel esik egyik oldalára. Hogyan oldaná meg a problémát? 


1.6. Feladat". Rendeljünk páros gráfot egy rejtjelező kódoló leképezéshez 

a következőképp: a gráf pontjainak egyik színhalmaza feleljen meg az üzenet 

blokkoknak, a másik színhalmaz a rejtjelezett blokkoknak, ahol két pont kö- 

zött akkor vezet él, ha létezik olyan kulcs a kulcstérben, amely a kapcsolatos 

üzenet-rejtjeles üzenet párokat köti össze. 

1. Igazolja, hogy egy rejtjelezés akkor és csak akkor tökéletes, ha páros gráf- 
jában ezen pontpárok között azonos számú él vezet. 


2. Mi a kapcsolat a tökéletes titkosítás és a latin négyzetek között? 


1.7. Feladat. Egy F, bináris véletlen forrás kimenetén 0,25 valószínűséggel 
jelenik meg 0 bit. Ennek felhasználásával szeretnénk rejtjelkulcsot generálni. 
Tudjuk, hogy a rejtjelezendő F, forrásunk felére tömöríthető. Ideális forrás- 
kódolást tudunk végezni. Lehetséges-e tökéletes rejtjelezés, ha F, sebessége 
5 kbit/sec, F, sebessége 8 kbit/sec? 


1.8. Feladat. Tekintsük a következő rejtjelező kódolást: az üzenetek tere 





X — (a,b), a kulcsok tere K — (ki,ko,kz,ka,ks), a rejtett üzenetek tere 
Y — (1,2,3,4,5). A kódolás az 1.1. táblázat szerinti. 
k a b 
kh 12 
ki 2 4 
kz 3 1 
Ég 5. 3 
ks 4 5 
1.1. táblázat. 


Például E,(a) — 3. A kulcs valószínűségeloszlása Pg — (2/5, 1/5, 1/5, 
1/10, 1/10), az üzenet valószínűségeloszlása Py — (1/3, 2/3). Tökéletes 
rejtjelezést valósítunk-e meg? 


2. 


Szimmetrikus kulcsú blokkrejtjelezők 


A blokkrejtjelező egy E : (0,1y" x (0,1y" — (0,1)" transzformáció, ami az 
n bites nyílt blokkot és a k bites kulcsot az n bites rejtett blokkba transz- 
formálja. Rögzített kulcs mellett, az E transzformációnak természetesen in- 
vertálhatónak kell lennie, különben a rejtjeles blokkból nem tudnánk egyér- 
telműen visszaállítani a nyílt blokkot. A fent definiált blokkrejtjelezőt tehát 
úgy is tekinthetjük, mint az Ex : (0,1y" — (0,1)" invertálható leképezések 
egy családját, ahol a család egyes elemeit a K € (0, 1)" kulcs választja ki. Az 
Ex transzformáció invertálhatóságából következik, hogy Ex egy permutációt 
határoz meg az n bites bináris vektorok halmazán. 

Mivel a K kulcs csak véges sok értéket vehet fel, ezért a blokkrejtjelező 
ellen mindig megkísérelhető az ún. kimerítő kulcskeresés támadás. Tegyük 
fel, hogy a támadó rendelkezik néhány nyílt blokk — rejtett blokk párral. Az 
i-edik ilyen párt jelöljük (X;, Y)-vel, ahol tehát Y; — Ex(X). A támadó K-t 
szeretné kitalálni. Ehhez az összes lehetséges kulcsot kipróbálja. Minden le- 
hetséges K" kulcsra ellenőrzi, hogy Ex: (X1) megegyezik-e Y1-gyel. Ha nem, 
akkor K"t-ot eldobja és újabb kulccsal próbálkozik. Ha viszont Ex"(X1) — Yi, 
akkor a támadó a többi rendelkezésre álló páron is teszteli K"-ot. Ha K" 
minden párra működik, akkor a támadó úgy tekinti, hogy K — K". Bár lehet- 
séges, hogy a támadó téved, ennek valószínűsége már néhány rendelkezésre 
álló pár esetén is elenyészően kicsi. Egy jól megtervezett blokkrejtjelező ese- 
tén, az Ex":(X1) — Hi egyenlőség 2-" valószínűséggel áll fenn, ha K" § K. 
t rendelkezésre álló pár esetén tehát a tévedés valószínűsége 27". Mivel az 
összes kulcsok száma 2£, ezért a hibásan elfogadott rossz kulcsok várható 
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száma 2/-". Ez k és n tipikus értékeire (k z n) már t — 2 esetén is nagyon 
kicsi lehet. 

A kimerítő kulcskeresés akkor is működik, ha csak megfigyelt Yi, Y2, . . . 
rejtett blokkok állnak a támadó rendelkezésére, de tudja, hogy a nyílt blok- 
kok redundánsak. Ilyenkor azonban tipikusan több megfigyelt rejtett szö- 
vegre van szükség a hibásan elfogadott kulcsok várható számának csökken- 
tése érdekében. 

A kimerítő kulcskereséssel a támadó átlagosan a kulcstér felének átvizs- 
gálása után találja meg a kulcsot. Ezért a kimerítő kulcskeresés ellen úgy 
védekezhetünk, hogy a rejtjelező kulcsméretét nagyra választjuk. A túl nagy 
kulcs sem jó azonban, mert akkor feleslegesen sok bitet kell titokban tartani. 
A megfelelő kulcsméret ezért az a legkisebb méret, ami a kimerítő kulcs- 
keresést már praktikusan lehetetlenné teszi. A gyakorlatban ma a 128 bites 
minimális kulcsméret javasolt. 

A kulcs méretének megfelelő megválasztása azonban még nem garan- 
tálja a rejtjelező biztonságát. A támadó ugyanis a kimerítő kulcskeresésen 
túl egyéb algoritmikus támadásokkal is próbálkozhat, melyek a rejtjelező 
algebrai struktúrájában rejlő gyengeségeket igyekeznek kihasználni. A le- 
hetséges támadások megjósolhatatlansága miatt, a blokkrejtjelező tervezője 
nehéz feladat előtt áll. Olyan rejtjelezőt kell terveznie, ami a jelenleg még 
nem ismert támadásoknak is ellenáll. Sajnos ezen probléma megoldására 
nem ismert semmilyen szisztematikus eljárás. A blokkrejtjelezővel szemben 
támasztott minimális (magas szintű) tervezési követelmények a következők: 


u Teljesség: A kimenet minden bitje minden bementi bittől és minden kulcs- 
bittől függjön. 

m Statisztikai függetlenség: Ne legyen statisztikai kapcsolat a nyílt blokkok 
és a rejtjeles blokkok között. 


m Lavina hatás: A bemenet egy bitjének megváltoztatására a kimeneten 
minden bit 2 valószínűséggel változzon meg. Ennek az a jelentősége, 
hogy lényegében azonos nyílt szövegek teljesen eltérő rejtett szövegekbe 
menjenek át. (Így például eltérő sorszámmal rendelkező azonos tartalmú 
üzenetek a rejtett szövegek figyelése alapján nem csoportosíthatók). Ha- 
sonlóképpen, egy kimeneti bit megváltoztatása eredményezzen nem pre- 
dikálható változásokat a bemeneten. 

Az ún. szorzat rejtjelezők (product cipher) önmagukban egyszerű transz- 
formációk egymásután többszöri alkalmazásával próbálják meg elérni, hogy 
az eredményül kapott transzformáció (az egyszerű transzformációk szorzata) 
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kielégítse a fenti kritériumokat. A ma ismert szimmetrikus kulcsú blokkrejt- 
jelezők erre az elvre épülnek. A következő fejezetben mi is részletesen meg- 
vizsgáljuk ezt a tervezési hozzáállást, abban az esetben, mikor az egyszerű 
transzformációk kis méretű helyettesítések és nagy méretű bitpermutációk. 
Az így nyert szorzat rejtjelezőt helyettesítéses-permutációs rejtjelezőnek ne- 
vezzük. Jellegzetes példája a DES, amit szintén ismertetünk. 


2.1. Helyettesítéses-permutációs rejtjelezők és a DES 


A Shannon által javasolt helyettesítéses-permutációs rejtjelező felépítése a 
2.1. ábrán látható. A bemenetre kerülő blokk permutációs és kulcsvezérelt 
helyettesítő rétegeken keresztül jut a kimenetre. A permutációs réteg egyet- 


bemenet kulcs 


kulcsütemező 























kimenet 


2.1. ábra. A Shannon által javasolt helyettesítéses-permutációs rejtjelező felépítése 
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len P bit permutációból (P-dobozból) áll. A helyettesítő réteg több kis méretű 
S; helyettesítő transzformációból (S-dobozból) épül fel, melyek mindegyike 
több helyettesítő táblát tartalmaz. Az S-dobozba bevezetett kulcsbitek hatá- 
rozzák meg, hogy melyik táblát kell használni a kódolás során. 

A permutációk és helyettesítések egymás utáni használatának célja a la- 
Vinahatás elérése. Ha például az S-dobozok olyanok, hogy tetszőleges be- 
menet esetén a bemeneten egy bit megváltoztatása a kimeneten legalább két 
bit megváltozását okozza, akkor az első réteg bemenetén fellépő egy bit vál- 
tozás az első helyettesítő réteg kimenetén legalább 2 bit változását eredmé- 
nyezi, amit a bit permutáció szétszór a teljes blokkon, így azok tipikusan 
a következő réteg két különböző S-dobozának bemenetére kerülnek. A má- 
sodik réteg kimenetén így már legalább 4 bit változik meg, és így tovább. 
Az eredmény az lesz, hogy egymáshoz Hamming-távolságban közeli (nagy 
korrelációt mutató) nyílt szöveg blokkok pszeudovéletlen módon tipikusan 
távolra kerülnek egymástól. 

Fontos továbbá, hogy az S-dobozok nemlineáris leképezést valósítsanak 
meg, azaz a rejtett szöveg vektor a nyílt szöveg vektorból egy bináris mát- 
rixszal történő szorzással ne legyen előállítható. Átalánosabban megfogal- 
mazva: az S-dobozok által megvalósított helyettesítés ne legyen egy lineáris 
transzformáció. Ez a teljes rejtjelező lineáris voltát vonná maga után, hiszen 
a permutációk lineáris leképezések. 


2.11. A DES biokkrejtjelező 


A DES (Data Encryption Standard) a legismertebb helyettesítéses-permutá- 
ciós blokkrejtjelező, melyet az IBM szakemberei fejlesztettek ki az USA-ban 
a hetvenes években. Később a világ több országában szabványként fogadták 
el, és azóta is használják. A DES kiállta az idők próbáját, ma sem ismert 
olyan gyakorlatban hatékonyan alkalmazható algoritmikus módszer, amivel 
fel lehetne törni. Ugyanakkor a DES 56 bites kulcs méretét ma már nem 
tartjuk elegendően biztonságosnak. Ezért a DES-t ma leginkább 3 kulcsos 
(168 bites) 3DES konfigurációban használjuk. Ezt a közeljövőben várhatóan 
felváltja majd a 2001-ben elfogadott AES (Advanced Encryption Standard) 
blokkrejtjelező, melyet a 2.5. szakaszban tárgyalunk. 

A DES struktúrája a 2.2. ábrán látható. A bemenet és a kimenet mérete 64 
bit, a kulcs 56 bites. A rejtjelező 16 rétegből áll, ahol a rétegek felépítése egy 
kicsit eltér a 2.1. ábra rétegeinek klasszikus felépítésétől. Itt az egyes rétegek 
bemenete két részből áll, jelöljük ezeket L;-vel és R;-vel. L; és R; mérete 32. 
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2.2. ábra. A DES szerkezete 


bit. A jobb oldali blokk, R; áthalad egy kulcs vezérelt, S-dobozokból és kü- 
lönböző permutációkból felépülő F transzformáción. Az i-edik réteg kulcsát 
jelöljük K;-vel. K; 48 bites, és a kulcsütemező állítja elő az eredeti 56 bites 
kulcsból. Az F transzformáció kimenetét XOR-oljuk a bal oldali blokkal, L;- 
vel, majd a két oldal blokkjait felcseréljük (kivéve az utolsó rétegben). Így 
kapjuk a következő réteg bemenetének két blokkját. Formálisan: 


L4a-Ri 2D 
Rua — L:OF(R;,K;). 
Ezt a struktúrát Feistel-struktúrának nevezik. Az az előnye, hogy az így fel- 
épülő rejtjelező mindenképpen invertálható, függetlenül attól, hogy F inver- 
tálható-e, vagy sem. Vegyük észre ugyanis, hogy L; és R; előállítható L;4.1- 
ből és R;4 1-ből anélkül, hogy F inverzét használnánk, hiszen (2.1)-ből: 


L:—Ra1OF(Lia,K;) és R; — Li 1. 
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Sőt a DES tervezői még azt is elérték, hogy a dekódoló gép megegyez- 
zen a kódolóval, csupán a kulcsütemezőt kell fordítva működtetni, azaz a 
kódolásnál az első rétegben alkalmazott 48 bites kulcsot a dekódolásnál az 
utolsó rétegben kell használni, a kódolásnál a második rétegben alkalmazott 
48 bites kulcsot a dekódolásnál az utolsó előtti rétegben kell használni, és 
így tovább. Ez egyébként annak a következménye, hogy az utolsó rétegben 
nem kell a két félblokkot felcserélni. 

Vizsgáljuk most meg a DES építőelemeit részletesen! 


A kezdeti és a végső permutáció (IP és FP). E két 64 bit bemenetű és 64 bit 
kimenetű bit permutációnak nincs különösebb szerepe, a DES elleni legerő- 
sebb támadásokat (differenciális és lineáris kriptanalízis) nem teszik nehe- 
zebbé. 


A kulcsütemező. A kulcsütemező feladata, hogy az egyes rétegek számára 
előállítsa a megfelelő méretű kulcsot. Ezt a következőképpen teszi. Először 
is az 56 bites kulcsot két 28 bites részre vágja. Mindkét felet balra rotálja egy- 
szer vagy kétszer, attól függően, hogy melyik réteg kulcsáról van éppen szó. 
A rotálások száma természetesen a DES szabványban rögzített. A rotálás 
után egy PC permutáció szerint kiválaszt az 56 bitből 48-at. A rotálások kö- 
vetkeztében minden rétegben más 48 bit kerül kiválasztásra, annak ellenére, 
hogy a választó PC permutáció minden rétegben azonos. Minden bit kb. 14 
rétegbe lép be. Az összes rotálások száma pontosan 28, így egy blokkrejtje- 
lezése után az 56 bites kulcs az eredeti állapotába áll vissza, és kezdődhet a 
következő blokk kódolása. Ennek elsősorban hardver megvalósításoknál van 
szerepe. 


Az F függvény. Az F függvény felépítését a 2.3. ábra szemlélteti. A bemenet 
először egy expanziós transzformáción halad keresztül, mely a 32 bites vek- 
torból egy 48 bites vektort állít elő. Ezt XOR-oljuk a 48 bites kulcs vektorral. 
A következő elem egy S-doboz réteg, melyben 8 darab 6 bitet 4 bitbe képző 
§S-doboz található. Az S-doboz réteg kimenete így 32 bites. Az F függvény 
kiemenetét végül egy 32 bites P-doboz állítja elő. 


Az expanziós transzformáció (E). Az E expanziós transzformáció a 32 bites 
bemeneti vektorból egy 48 bites vektort állít elő úgy, hogy néhány bemeneti 
bitet a kimeneten megdupláz, azaz két kimenetre is kivezet. A duplázott bi- 
tek a későbbiekben különböző S-dobozokba lépnek be. Így egyes bemeneti 
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2.3. ábra. A DES F rétegfüggvényének felépítése 


bitek több S-dobozra is hatással vannak, ami fokozza a lavinahatást, hiszen a 
bemeneten történő változások így még gyorsabban terjednek tovább. Ennek 
következménye, hogy viszonylag kevés réteg után már minden bit minden 
bemeneti bittől függ, azaz már a néhány rétegére redukált DES is teljes! . 


Az §-dobozok (S;). Minden S-doboz 4 darab 4 bitet 4 bitbe helyettesítő táb- 
lázatból áll. Ezen táblázatok közül az S-doboz bemenetének két szélső bitje 
választja ki az aktuálisan alkalmazandót. Úgy is elképzelhetjük, hogy az S- 
dobozok 4 sorból és 16 oszlopból álló táblázatok, és a bemenet két szélső 
(tehát az 1. és a 6.) bitje címzi meg a sort, a középső 4 (tehát a 2-5.) bit 
pedig az oszlopot. 


A P-doboz (P). A P-doboz egy egyszerű bit permutáció. A P-doboz feladata 
a bitek összekeverése oly módon, hogy egy S-doboz kimeneti bitjei a követ- 
kező rétegben más S-dobozok bemeneti bitjei legyenek. 


1 A teljesség definícióját lásd később az S-doboz tervezés kritériumait tárgyaló 2.2.1.2. sza- 
kaszban. 
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2.2. Helyettesítéses-permutációs rejtjelezők tervezése 


Ebben a fejezetben azt vizsgáljuk, hogy mik az S- és P-doboz tervezés pon- 
tos kritériumai, és hogyan lehet a kritériumokat kielégítő transzformációkat 
tervezni, Először az S-doboz tervezéssel foglalkozunk, majd a P-doboz ter- 
vezést tárgyaljuk, végül kitérünk a rejtjelező rétegei számának megválasztá- 
sára. 


2.2.1.  S-doboz tervezés 


A helyettesítéses-permutációs rejtjelezők legfontosabb építőelemei az S-do- 
bozok. A rejtjelező ereje nagy mértékben függ S-dobozainak tulajdonságai- 
tól, ezért ezek tervezése igen nagy körültekintést és tapasztalatot igényel. 
A megalapozott tervezés első lépése a tervezési kritériumok meghatározása. 
Sajnos nem ismert olyan elméleti módszer, amely pontos felvilágosítást ad 
arról, hogy egy S-doboznak milyen kritériumokat kell kielégítenie ahhoz, 
hogy a rejtjelező biztonságos legyen. A ma ismert kritériumok többsége nem 
elméleti megfontolásból született, hanem valamilyen ismertté vált támadás 
elleni védekezés feltételeit sikerült kritérium formájában megfogalmazni. 

A kritériumok és a közöttük fennálló kapcsolatok részletesebb vizsgálata 
során kiderül, hogy az ismert kritériumok nem alkotnak kompatibilis hal- 
mazt, abban az értelemben, hogy vannak közöttük olyanok, melyeket egy- 
szerre nem lehet kielégíteni, illetve bizonyos kritériumok kizárják az op- 
timum elérését más kritériumok szempontjából. A tervező tehát kénytelen 
tapasztalataira támaszkodni, és az ismert kritériumok közül azokat kiválasz- 
tani, amelyeket egy adott alkalmazásban a legfontosabbnak tart, és amelyek 
nem zárják ki egymást. 

A következő lépés a kritériumokat kielégítő S-dobozok keresése. Erre 
alapvetően két út áll rendelkezésre. Az egyik a véletlen választás, a másik 
a konstrukció. Az első esetben arról van szó, hogy véletlenül választunk §- 
dobozokat, majd az így nyert S-dobozok közül kiválasztjuk azokat, ame- 
lyek a tervezés során használt kritériumokat kielégítik. Utóbbi esetben va- 
lamilyen matematikai konstrukciós eljárást használunk a kívánt kritériumo- 
kat kielégítő S-dobozok közvetlen megkeresésére. A véletlen választást és a 
konstrukciót együtt is használhatjuk: kereshetünk például adott tulajdonságú 
Boole-függvényeket véletlen választással, majd ezekből megkonstruálhatjuk 
az S-dobozt. 

A továbbiakban néhány fontos alapfogalom bevezetése után az ismertebb 
S-doboz tervezési kritériumokkal és a közöttük fennálló kapcsolatokkal fog- 
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lalkozunk, majd megvizsgáljuk a véletlen választás és a konstrukció lehető- 
ségeit az S-doboz tervezésben. 


2.2.1.1. Alapfogalmak 
Az ezen alfejezetben használt jelöléseket a 2.1. táblázatban foglaltuk össze. 





s. az egész számok halmaza; 

27 n hosszú bináris vektorok halmaza; 

xEy  xésy moduló 2 összege, ha x,y € CE 
x és y bitenkénti moduló 2 összege, ha x,y € 29 ésn2 1; 

xOy  xésymoduló 2 szorzata, ha x,y € s 
Xx és y bináris skalárszorzata, ha x,y € 29 és n 5 1, azaz 
xoOyz-xiOyiOx2Oy2 e... Dxn On ahol x; és y; jelöli az x és y 
vektorok í-edik bitjét; 

AOx azn.xm méretű bináris A mátrix és az x € 27" vektor szorzata, 
ahol az eredmény vektor mérete n, és komponensei a mátrix sorainak 
x-szel vett bináris skalárszorzataként állnak elő; 

eh) n dimenziós egységvektor, mely egyetlen egyest tartalmaz az 
i-edik pozícióban; 




















2.I. táblázat. A 2. fejezetben használt főbb jelölések összefoglalása 


Boole-függvény. Boole-függvényen egy m bitet 1 bitbe képző f : 2977 c 24 
függvényt értünk. Az így definiált Boole-függvény helyett gyakran használ- 
juk az alább definiált f : 237 — (1,—1) leképezést: 
19 —-(—-)f9 —1—2f(9. ed 
Bevezetünk két speciális Boole-függvényt, amit a későbbiekben gyakran 
használunk majd 
m Legyen Lu : 27 — 2) a következő alakú: 


L.u.v(x) —uoOxOvV (2.3) 
ahol u c 29" és ve 24. 
m Legyen továbbá ő : 277 — 27 a következő függvény: 


1hax—0 


é(AS 6 egyébként. 03 
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Boole-függvények súlya. Egy f : 27 — 2) Boole-függvény w(f) súlya 
alatt az igazságtáblájában szereplő egyesek számát értjük. Formálisan: 


w()-Iikez7:f0g)—-1I- E 09. (2.5) 
: é 


Boole-függvények távolsága. Két Boole-függvény távolsága nem más, mint 
azon bemenetek száma, melyekre a két függvény kimenete különbözik egy- 
mástól. Formálisan egy f : 297 c 2 és egy g : 27 — 2) Boole-függvény 
d(f,g) távolsága a következő: 


d(f.8)-Iee 27: fe) 4e9H—w(fos) 2.6 


Boole-függvények korrelációja. Egy f : 297 — 2 és egy g : 297 c 24 
Boole-függvény c(f, g) korrelációján az alábbi kifejezést értjük: 


e(f,8)— E 69809. (2.7) 
xegp 


Boole-függvények autokorrelációs függvénye. Egy f : 2? c 2) Boole- 
függvény rp : 29 o 7 autokorrelációs függvényét a következőképpen de- 
finiáljuk: 


rr(a— E Íf9Ítkea). (2.8) 
xegp 


Boole-függvények Walsh-transzformáltja. Egy f : 29" - 2) Boole-függ- 
vény F : 27 c 7 Walsh-transzformáltján a következő függvényt értjük: 
F(0)— p f6)(-1PS 829) 
xeip 


A Walsh-transzformáltból a transzformáció inverzét alkalmazva kapjuk visz- 
sza az eredeti függvényt: 


19-23 E FOCDror 62.10) 


vegT 


A fenti definíció alapján számoljuk az f függvény Walsh-transzformált- 
játis: 
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P(w)— E f9(-1ye AD 
xEÍT 
- E (1—2f(9)(-1y9" 


ez 
z— y (-1y99-2 § feJ(-1ee 
xeIp xegp 


—2"ö(w)—2F(w). 


§-doboz. Egy f : 29" — 27 leképzést S-doboznak nevezünk, ha 1 £ n £ m. 
f-et gyakran tekintjük úgy, mint n darab Boole-függvény együttesét: 


fe) — (fr), 20)... Hb), 212 


ahol az f; : 27 o 2 függvényeket komponens Boole-függvényeknek ne- 
vezzük. 

Egy másik interpretáció szerint, f 277" darab n bitet n bitbe képző helyet- 
tesítő tábla együttese. Ekkor f működése úgy képzelhető el, hogy a bemenet 
valamely m — n bitje csupán arra szolgál, hogy az S-dobozban található 27-" 
transzformáció közül kiválasszon egyet, és a választott transzformáció állítja 
elő az S-doboz n bites kimenetét a bemenet maradék n bitjéből. A formális 
leírás egyszerűsége kedvéért tegyük fel, hogy a bemenet első m — n bitje a 
transzformáció választó bit. Ekkor 





f(DJ — f(r1x2.1xm) — fia osrxmen (6m—nt-1sXm—nt21 Xn) (2.13) 
ahol tehát fi x2,...sma : 277 DE. 


§-dobozok lineáris approximációs táblája. Egy f : 27 - 27 §-doboz 
LAT , lineáris approximációs tábláját (Linear Approximation Table — LAT) a 
következő kifejezés definiálja: 


LAT (a,b) ee 27: a0x—BoOf(9H—-2, (2.14 


ahol a € 27 és B € 27. 

LATy(a, B) tehát azt fejezi ki, hogy hány olyan x van, melyre a bemenet €- 
által maszkolt bitjei és a kimenet B által maszkolt bitjei lineáris kapcsolatban 
vannak egymással. Könnyen ellenőrizhető, hogy LAT F(ar,0) — 27-18(0), 
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azaz a lineáris approximációs tábla B — 0-hoz tartozó oszlopa az cz — 0-hoz 
tartozó sórt kivéve mindenhol 0, ot — 0-nál pedig 2771. 

A lineáris approximációs tábla hasonló szerepet tölt be az S-dobozoknál, 
mint a Walsh-transzformált a Boole-függvényeknél. 


§-dobozok differencia eloszlási táblája. Egy f : 27 — 27 §-doboz DDT, 
differencia eloszlási tábláját (Differential Distribution Table -— DDT) a kö- 
vetkező kifejezés definiálja: 


DDT/(a,b)—xe 27 :frdeftxea) —bi (2.15) 


ahol a € 27 és b e 27. 

DDT (a,b) tehát azt fejezi ki, hogy a bemeneti differencia esetén a kime- 
neti differencia hány esetben b. Az S-doboz determinisztikus tulajdonsága 
miatt, 0 bemeneti differencia esetén a kimeneti differencia is biztosan 0, így 
DDT/(0,b) — 275(b), azaz a differencia eloszlási táblázat a — 0-hoz tartozó 
sora a b — 0 oszlopot kivéve mindenhol 0, b — 0-nál pedig 27. 

A bemeneti és a kimeneti differenciák közötti kapcsolatot Boole-függvé- 
nyek esetén az autokorrelációs függvény írta le, ezért a differencia eloszlási 
táblázat szerepe az S-dobozoknál a Boole-függvények autokorrelációs függ- 
vényének szerepéhez hasonlítható. 


2.2.I.2.  §-doboz tervezési kritériumok 


Balansz tulajdonság. A balansz tulajdonság azt jelenti, hogy a transzformá- 
ció nem torzítja el egy egyenletes eloszlású bemenet gyakoriság-statisztiká- 
ját. Egy f : 27 — 27 S-doboz akkor balansz, ha tetszőleges y € 29" esetén 


We 27: fe) -y 2 (2.16) 
Balansz S-dobozok lineáris approximációs táblájára a következő érdekes 


tételt mondhatjuk ki: 
2.1. Tétel. Az f : 27 c 29 §-doboz akkor és csak akkor balansz, ha 
LAT (0, B) — 0 minden B € 27,B A 0 esetén. 


Bizonyítás: Jelölje c(y) azon bemenetek számát, melyekre a kimenet y, azaz 
cl) —(x e 259 : f(x) — y)I. Ekkor nyilván 


YE c0)—-2 
veg 
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Számoljuk ki c(y) Walsh-transzformáltját: 
C(B)— E eW(-P 


ve2T 
- E W(-VÁP s E c0)-2 
veg ye27 
- E c0)(1(—1p9P) 2" 
vegy 
- ) 2cO)Ipop-o—2" 
vegy 
-2te27:Bofe) —0-2 
— 2LAT/(0, B). 
Ezt felhasználva kapjuk, hogy 
LaT(0,b)—2C(B)-2 PF ebj-iyP. ID 


ye2y 


Ha f balansz, akkor c(y) — 277" minden y € 27 esetén. Ekkor a (2.17) 
kifejezést felhasználva, és feltételezve, hogy B 5 0, azt kapjuk, hogy: 


1aT 0-7 E pm -o, 
vez 


mert yo B ugyanannyi y-ra veszi fel az 1 értéket, mint amennyire a 0 értéket 
tetszőleges B 5 0 esetén. 
Fordítva, ha LAT/(0, 8) — 0 minden B - 0 esetén, akkor 


c) Ez Éz OB-yto 
e. 


- 4 YE 2TATJ(0,B)(-Po 
Be2y 


2 
— aa LAT /(0,0) 


2 om 
cz 


v zuga in 
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Teljesség. Egy f : 27 — 27 függvény teljes, ha minden kimeneti bitje 
minden FEGAREÉS bittől függ. Más szavakkal ez azt jelenti, hogy az f(x) e 
fired) ) függvény j-edik komponens Boole-függvényének igazságtáblá- 
jában legalább egy darab 1 található, és ez minden I Ci Cmés1 c jen 
esetén igaz. Formálisan, minden I Ci £ més 1 £ j £ n esetén teljesül a 
következő: 


kkezr:Vor9zdorkreDdji:o (2.18) 


Linearitás és affinitás. Egy f : 27 c 27 függvény lineáris, ha felírható 
f() — A Ox alakban, és affin, ha felírható f(x) — AOx6 b alakban, ahol A 
egy n x m-es bináris mátrix és b € 27. Mivel a lineáris (affin) S-dobozokból 
felépülő rejtjelező könnyen analizálható, ezért a lineáris (affin) S-dobozok 
kerülendők. 


Lineáris struktúrák, lineáris dimenzió. Előfordulhat, hogy egy függvény 
nem lineáris (affin), mégis rendelkezik bizonyos parciális linearitással, azaz 
kimenete néhány bemeneti bittel lineáris (affin) kapcsolatban áll. Ezen par- 
ciális linearitás mérőszáma a lineáris dimenzió. 

A lineáris dimenzió formális definíciójához először a lineáris struktúra 
definícióját vezetjük be. Az a c 29" bináris vektor lineáris struktúrája az 
f: 27 - 27 függvénynek, ha f(x) 6f(x6 a) minden x € 27" esetén kons- 
tans. A 2.2. tétel szerint egy függvény lineáris struktúrái alteret alkotnak a 
27" térben. Ezen altér dimenzióját nevezzük f lináris dimenziójának. 


2.2. Tétel. Ha ai és az lineáris struktúrája az f : 27 a 27 függvénynek, 
akkor az 4- az is az. 


Bizonyítás: 
fe)efkoea Da) — fd efroa)ofrroa) ef(xoai e a2) 
- (fe)dertkea) e(r0) ere a2)), 


ahol y — x 8 ai. Mivel ai és a? lineáris struktúrák, ezért a fenti összeg két 
tagja konstans, és így maga az összeg is az. a) 


Nem-linearitás. Mivel egy helyettesítéses-permutációs rejtjelező egyetlen 
nem-lineáris eleme a helyettesítő réteg, ezért ez a kritérium központi sze- 
repet játszik az S-dobozok tervezése során. 
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Egy f : 27 — 24 Boole-függvény N(f) nem-linearitásán az affin függ- 
vények halmazától vett távolságát értjük: 


NN) át Lu) 2.19) 


29 


Felhasználva, hogy 
P- F 9 -ye 
xegp 


- Y (—nyégeron 


-Ikezr:f19-u1ox-re 27: 6) 4 uox 
—27—2d(f Lu), 
azt kapjuk, hogy 
1 
d(f Lu) 215. 
Hasonlóan 
maaa 
df) 2 45 É 9, 
és így 
rel 
kai -7 ma ké 2.20) 
N()—-2 2 max II 2.20) 
Egy S-doboz nem-linearitását komponens Boole-függvényeinek segítsé- 
gével definiáljuk a következőképpen: Képezzük egy S-doboz komponens 
Boole-függvényeinek lehetséges lineárkombinációit. Az így kapott Boole- 


függvények közül válasszuk ki azt, amelyiknek nem-linearitása minimális. 
Ez a minimális nem-linearitás az S-doboz nem-linearitása: 


N() — , min M(BOJ. 820 


Egy S-doboz nem-linearitását a következőképpen határozhatjuk meg li- 
neáris approximációs táblájának ismeretében: 


N(fy-27 1 max ILAT,(a, B). (2.22 


ac27 Be27 B/O 
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Differenciális egyenletesség. A differenciális egyenletesség a nem-linearitás 
egy másik mérőszáma, mely a lineáris struktúráktól való távolsággal van 
összefüggésben. Ez a kritérium a differenciális kriptanalízissel kapcsolat- 
ban jelent meg. A differenciális kriptanalízis egy olyan támadási módszer, 
mely az S-dobozok azon tulajdonságát használja ki, hogy adott bemeneti 
differencia esetén a kimeneten nem minden differencia jelenik meg azonos 
valószínűséggel. A differenciális egyenletesség ennek az egyenetlenségnek 
a mérőszáma. 

Egy f : 27 — 27 S-doboz D(f) differenciális egyenletességét a követ- 
kezőképpen definiáljuk: 


DÍTYy ez" Wke2z7:f(rDdeflxoea)—byi. (2.23) 


max 
ae 2 be 27 apo 
Figyelembe véve az S-doboz differencia eloszlási táblájának (2.15) defi- 
nícióját láthatjuk, hogy 


D(f)—27— DDT/(a,b). 2.24 
() KE Só 7(a,b) (2.24) 


Felhívjuk a figyelmet (2.22) és (2.24) hasonlóságára. 


Terjedési kritériumok, szigorú lavinahatás kritérium. Egy f : 2? c 2) 
Boole-függvény kielégíti a k-ad fokú terjedési kritériumot, ha autokorrelá- 
ciós függvényére igaz, hogy rr(a) — 0 minden k-nál nem nagyobb súlyú 
a € 27 esetén, ahol a 5 0 (más szavakkal, 1 £ w(a) S k). Egy f : 2? o 27 
S-doboz kielégíti a k-ad fokú terjedési kritériumot, ha minden komponens 
Boole-függvénye kielégíti azt. 

Az első fokú terjedési kritériumot szokás szigorú lavinahatás kritériumnak 
(Strict Avalanche Criterion — SAC) is nevezni. Egy SAC tulajdonsággal ren- 
delkező f : 297 — 2 Boole-függvényre tehát rr(ef)) — 0 minden 1 Si £m 
esetén. Ez lényegében azt jelenti, hogy a bemeneten egy bitet megváltoztatva 
a kimenet 2 valószínűséggel változik meg. 

Egy SAC tulajdonságot kielégítő S-doboz tetszőleges bemeneti bitjét 
megváltoztatva a kimenet minden egyes bitje 2 valószínűséggel változik 
meg. S-dobozok esetén, a SAC tulajdonság teljesülésének ellenőrzésére a 
diffúziós mátrix szolgál. Egy f : 27 c 27 S-doboz diffúziós mátrixa alatt 
azt az m x n méretű Wy mátrixot értjük, melyre 


cé) e ! j j 8 
wi) lez rPord zPorroedbdy. (2.25) 
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A diffúziós mátrix wy) eleme tehát azt mondja meg, hogy megváltoztatva 
az f függvény i-edik bemeneti bitjét a kimenet j-edik bitje milyen való- 
színűséggel változik meg. Ha a diffúziós mátrix minden eleme / 23. akkor az 
S-doboz kielégíti a szigorú lavinahatás kritériumot. 


2.2.1.3. A kritériumok közötti kapcsolatok 


Mielőtt rátérnénk a kritériumokat kielégítő S-dobozok tervezési kérdéseire, 
röviden kitérünk néhány kritériumok között fennálló kapcsolatra. 

Ha egy f S-doboz affin, akkor könnyen belátható, hogy N( f) nem-linea- 
ritása 0. Ugyanakkor N(f) úgy is lehet 0, ha az S-doboz maga nem affin, 
de komponens Boole-függvényeinek létezik olyan lineárkombinációja, mely 
affin Boole-függvényre vezet. Az ilyen S-dobozokat kriptográfiailag ugyan- 
olyan gyengének tartjuk, mint az affin S-dobozokat, és ha lehet, kerüljük 
őket. 

Vizsgáljuk most a nem-linearitás másik extrém értékét. Ha egy S-doboz 
minden komponens Boole-függvénye és azok minden nem triviális lineár- 
kombinációja maximálisan BELL ESESEzé egy ILAT (ar, B)I — 22-1 min- 


den G-ra és B 5 0-ra, és így N(f) — —237-1!. Ebből azonnal követke- 
zik, hogy egy maximálisan S kZSzÉ S-doboz nem lehet balansz, hiszen 
ILATF(0,B)I 7 0. 


Ha egy f : 27 — 2) S-doboz kielégíti az m-ed fokú terjedési kritériu- 
mot (azaz minden gmödésé Boole-függvénye és azok minden lineárkom- 
binációja kielégíti az m-ed fokú terjedési kritériumot), akkor ILAT (a, 4 un) z 
23-! minden a c Z7,B e 27,B / 0 esetén, és így N(f) 277! —21- 
vagyis f maximálisan nem-lineáris. 

Egy f : 27 27 S-doboz akkor éri el a legkisebb differenciális egyenle- 
tességet, ha létezik lineáris struktúrája. f differenciális egyenletessége akkor 
a legnagyobb, ha DDT (a,b) —277" minden a 5 0 és b esetén. Ez azt jelenti, 
hogy f(x) e f(xe a) minden a 5 0-ra balansz. Ekkor D(f) — 27—277". 
Belátható, hogy ekkor ILAT(a,B)I — 22-! minden a e 27, Be 2, 
B 70 esetén. A differenciálisan egyenletes S-dobozok tehát maximálisan 
nem-lineárisak. 

A fenti állításokat a következő fontos tételben foglaljuk össze: 


2.3. Tétel. Az f : 27 c 27 S-dobozra az alábbi állítások ekvivalensek: 
mu f nem-linearitása maximális, N(fy—2771—27-! 
u f differenciálisan egyenletes, D(f)y—271—277". 
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Továbbá a fenti állítások bármelyikéből következik, hogy f kielégíti az m-ed 
fokú terjedési kritériumot. 

A 2.3. tétel arra világít rá, hogy léteznek olyan S-dobozok, melyek a nem- 
linearitás, a differenciális egyenletesség és a terjedési kritériumok szempont- 
jából is optimálisak. Ezeket a függvényeket tökéletes (perfect) függvények- 
nek nevezzük. Sajnos, mint korábban kiderült, a tökéletes függvények nem 
lehetnek balanszok. Érdekes kérdés annak vizsgálata, hogy vajon adható-e 
hatékony módszer a lehető legnagyobb nem-linearitású balansz függvények 
konstruálására. 


2.2.1.4.  §-doboz tervezés véletlen választással 


Ebben a fejezetben a véletlen választáson alapuló S-doboz tervezés lehető- 
ségeit vizsgáljuk. Fő kérdésünk tehát az, hogy az S-dobozok véletlen válasz- 
tása, majd különböző kritériumok szerinti szűrése, mely kritériumok esetén 
hatékony módszer. Ez a kérdés általában az adott kritériumot kielégítő S- 
dobozok számával van összefüggésben. Ha ugyanis egy kritériumot csak ke- 
vés S-doboz elégít ki, akkor nincsen arra remény, hogy véletlen választással 
pont ezeket találjuk meg. A véletlen választás tehát akkor hatékony módszer, 
ha a kritériumot kielégítő S-dobozok száma elég nagy. 


Nem-linearitás. Affin f : 297 c 29 leképezések számára vonatkozóan 
könnyen kaphatunk eredményeket. Mivel az affin függvények A ox 6 b ala- 
kúak, ezért az affin függvények száma 27"2", és így annak valószínűsége, 
hogy egy véletlenül választott S-doboz affin, 2(vtDn/(27)?". Például m — 
6,n — 4 esetén 27? annak a valószínűsége, hogy egy véletlenül választott 
S-doboz affin. Ez jó, mert azt jelenti, hogy véletlen választással nagy való- 
színűséggel nem affin S-dobozra jutunk. 

Tudjuk, hogy az affin S-dobozokon kívül vannak még olyan S-dobozok, 
melyek nem-linearitása 0, azok amelyekre a komponens Boole-függvények- 
nek létezik olyan nem nulla lineárkombinációja, mely affin. Ezek a függvé- 
nyek kriptográfiailag ugyanolyan gyengék, mint az affin S-dobozok. Mivel 
a 0 nem-linearitású S-dobozok halmaza tartalmazza az affin S-dobozok hal- 
mazát, ezért célszerű ezek számát is megvizsgálni. 

2.4. Tétel. Annak valószínűsége, hogy egy véletlenül választott f : 27 o 
27 §-doboz nem-linearitása 0, felülről becsülhető a következő kifejezéssel: 





2mtnt1 
227 
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Bizonyítás: Azon f függvények száma, melyekre valamilyen rögzített a € 
27 B e 27,B 7 0 esetén minden x-re teljesül, hogy a Ox — B off) a 
következő: 


Kf:a0x—BoOfrJ we 27). 


Ugyanis tetszőleges x € 279" esetén a: 0 x értéke vagy 0 vagy I, és tetszőle- 
ges nem nulla B e 27 esetén 27"! olyan y e 27 található, melyre BOy—0, 
és 277! olyan y jielyró Boy-I1. Így minden x c 29-re f(x) értékét Y sájs 
lehetséges érték közül választhatjuk, amiből a fenti állítás adódik. Hasonló- 
képpen 
Mf:vee 27: aoxzBOfW9gH—- RT, 
és így 
MF: ILAT (a, B)I—2 22. 

Ezek alapján azon f függvények száma, melyekre létezik olyan a € 297, 

Be 27,B /0, hogy ILAT (a, B)1— 277! teljesül, felülről becsülhető: 


Wf:30€27BEZBAO: ILAT (a, BN—-27JI 
S7(27-)ezyz. 


Mivel az összes f : 297 — 27 függvények száma (27), ezért a keresett 
valószínűséget felülről becslő formula a következő: 


im] 





(2 vsak 192(27! j sa 2mtnti 
E ua 2: 


A 2.4. tétel értelmében tehát igen kicsi annak a valószínűsége, hogy egy 
véletlenül választott S-doboz nem-linearitása 0. Például m — 6,n — 4 esetén 
ez a valószínűség kevesebb, mint 2 


Differenciális egyenletesség. Egy S-doboz differenciális egyenletessége ak- 
kor a legkedvezőtlenebb, ha létezik lineáris struktúrája. Szerencsére a követ- 
kező tétel állítása szerint a lineáris struktúrával rendelkező S-dobozok száma 
kicsi. 
2.5. Tétel. Annak valószínűsége, hogy egy véletlenül választott f : 27 
27 §-doboznak létezik lineáris struktúrája, felülről becsülhető a következő 
kifejezéssel: 

Jin 

ze 


44 I.Kriptográfiai primitívek 


Bizonyítás: Azon f függvények száma, melyekre valamilyen rögzített a € 
27 be 27,a 4 0 esetén teljesül, hogy f(x) o f(xe a) minden x-re b, a 
következő: 


Mf:Vxe ZP: frYOfroa)—bH (RT. 


Osszuk ugyanis kétfelé a lehetséges bemeneteket egy /4 és egy 7) halmazra, 
mégpedig úgy, hogy minden x € 11-re x€ a € 1. Ekkor minden x € 11-re 
(2) értéke szabadon választható, ugyanakkor f(x a) értéke meghatározott, 
hiszen teljesülnie kell az f(x) 0 f(re a) — b egyenletnek. Így 277! kimeneti 
értéket szabadon választhatunk a lehetséges 2"-féle kimenetből, azaz a fenti 
állítás adódik. 

Ezek alapján azon f függvények száma, melyekre létezik olyan a € 2. vagi 
b e 29 ,a A 0, hogy DDT/(a,b) — 2" teljesül, felülről becsülhető: 


Mf:3a€ 29 be Za 40: DDTj(a,b) 27". s (27 — RT, 


Mivel az összes f : 29" o 29 függvények száma (27), ezért a keresett 
valószínűséget felülről becslő formula a következő: 


mm g)on " zájni Hm 
(27—1D)2(2) sz rap § n 
2 2n2e-i 


A 2.5. tétel értelmében tehát igen kicsi annak a valószínűsége, hogy egy 
véletlenül választott S-doboz differenciális egyenletessége a lehető legked- 
vezőtlenebb. Például m — 6,n — 4 esetén ez a valószínűség kevesebb, mint 
2-8 


Terjedési kritériumok. Nem ismert, hogy egy véletlenül választott S-doboz 
milyen valószínűséggel teljesíti a szigorú lavinahatás kritériumot. Erős sej- 
tés, hogy ez a valószínűség exponenciálisan csökken, ahogy az S-doboz be- 
menetének mérete nő. Itt a véletlen választás tehát nem járható út. 

Ezzel szemben olyan S-dobozt, melynek minden bemeneti és kimeneti 
bitje között , majdnem?" teljesül a SAC, könnyű találni, ráadásul a jó választás 
valószínűsége nő, ahogy az S-doboz bemenetének mérete nő. Egy S-doboz 
, Majdnem" kielégíti a SAC tulajdonságot, ha diffúziós mátrixa nem sokban 
különbözik egy SAC tulajdonságot kielégítő S-doboz diffúziós mátrixától, 
azaz a két diffúziós mátrix elemei közel vannak egymáshoz. 
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Fenti állításunkat számítógép segítségével generált véletlen S-dobozok 
diffúziós mátrixainak vizsgálatával ellenőrizhetjük. A 2.2. táblázatban a dif- 
fúziós mátrix maximális és minimális elemének várható értéke és szórása 
látható. Figyeljük meg, hogy a maximum és a minimum átlaga egyre köze- 
lebb van a kívánt 0.5-höz, ahogy a méret növekszik, továbbá a szórás nagyon 
kicsi, és gyorsan csökken a mérettel. Ez azt jelenti, hogy olyan S-doboz, 
melynek diffúziós mátrixában az elemek közel vannak 2-hez, könnyen ge- 
nerálható véletlen úton. 








m(-n) N E(max) " D(max) — E(min)  D?(min) 
ri TO000" 0.82 0.0II3 — 0.23 — 00055 
6 10000 0.69 —— 0.002 —— 0.32 —— 0.0019 
g 5000 0.6 0.0004 0.4 0.0004 
10 500 — 0.56 —— 0.0001 — 044 —— 0.0001 
12 100 — 0.53 —— 0.00002 — 0.47 —— 0.0002 





2.2. táblázat. Véletlen generált 5S-dobozok diffúziós mátrixa maximális és minimális 
elemének várható értéke és szórása. N a kísérletben generált 5-dobozok számát 
jelöli 


Egy másik nyitott probléma a perfekt S-dobozok számának pontos meg- 
határozása vagy szigorú becslése. Az mindenesetre sejthető, hogy a perfekt 
függvények igen kevesen vannak, így véletlen választással nem lehet őket 
megtalálni. Sajnos ebben az esetben még a majdnem perfekt S-dobozok vé- 
letlen választása is kivitelezhetetlennek tűnik. A perfektség kritériuma már 
túl erős a véletlen tervezéshez. 


Balansz tulajdonság. Mivel a balansz f : 29" — 27 §-dobozok száma 


2"1 
Graz 


ezért annak valószínűsége, hogy egy véletlenül választott S-doboz balansz, 
a következő: 
Fal 

Ed zi jege v 
Ez a valószínűség gyorsan csökken a bemenet és a kimenet méretével, így 
balansz S-dobozok egyszerű véletlen választással nehezen találhatók. Sze- 
rencsére a következő algoritmussal egyszerűen lehet véletlen, balansz S- 
dobozokat közvetlenül generálni, így a probléma megoldható. 


(2.26) 
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2.1. Algoritmus. Az algoritmus olyan véletlen, m bitet n bitbe képező S- 
dobozt generál, mely rendelkezik a balansz tulajdonsággal. A generált S- 
dobozt az y tömb tartalmazza, ahol y[i] az S-doboz i bemenetre adott válasza 
(decimális alakban). 


. Legyen y[i) — UNDEF minden i-re, ahol 0 Ci £27—1. 

. Legyenk—O0ésc— 27". 

. Válasszunk egy 0 £ r £ 27—1 véletlen számot, melyre y[r] — UNDEF. 
. Legyen yír] — k. 

. Legyenc—c—I1I. 

Ha c — 0, akkor legyenk—k-- 1 ésc— 27, 

. Hak c 2", akkor ugorjunk vissza a 3. lépésre, egyébként vége. 


NAUNRBROV E 


Teljesség. Annak valószínűségére, hogy egy véletlenül választott balansz S- 
doboz nem teljes, a következő tétel ad felső becslést: 


2.6. Tétel. Annak valószínűsége, hogy a balansz 29" c 27 leképezések kö- 
zül véletlenül választott f S-doboz nem teljes, felülről becsülhető a következő 
kifejezéssel: 

(aj (27-12 

ESET esző 
Bizonyítás: Először kiszámoljuk annak valószínűségét, hogy egy véletlenül 
választott balansz S-doboz j-edik kimeneti bitje nem függ az i-edik bemeneti 
bittől. Osszuk a lehetséges kimeneteket két egyenlő halmazra, 01-re és 02-re 
úgy, hogy az 01-be kerülő vektorok j-edik bitje 0 legyen, míg az 02-be ke- 
rülőké 1. A bemenetekből képezzünk párokat úgy, hogy minden pár két tagja 
csak az i-edik bitben különbözzön. Ha a j-edik kimeneti bit nem függ az i- 
edik bemeneti bittől, akkor minden (x,y) párra igaz az, hogy ha f(x) € Ok, 
akkor f(y) E Ok, ahol k — 1, 2. Ennek alapján csoportosítsuk a párokat: azon 
(x,y) párok, melyekre f(x), f(y) € 01, kerüljenek az /4 halmazba, a többi pe- 
dig az 5-be. Ha az S-doboz balansz, akkor /4 és /2 mérete megegyezik. Így 
h-et (72) -féleképpen lehet megválasztani. / és O1 illetve 22 és 02 között 
29-11/(29-n)2 balansz leképzés létezik, így az (i, j) bitben nem teljes 
balansz leképzések száma: 


Es) 





nm 
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Felhasználva, hogy összesen 


2" 
(27-nz 


balansz leképezés van, azt kapjuk, hogy a keresett valószínűség 


259] (27-12 


2 


A tétel felsőbecslése innen már adódik. im) 


2.2.1.5.  §-doboz tervezés konstrukcióval 


A 2.2. szakaszban láttuk, hogy véletlen választással könnyen jutunk ba- 
lansz és teljes S-dobozokhoz. Ugyanakkor, a SAC tulajdonságot kielégítő 
vagy az erősen nem-lineáris S-dobozok száma igen kicsi, ezért ezen tulaj- 
donságokat kielégítő S-dobozok generálására a véletlen választás nem jár- 
ható út. Ilyenkor folyamodhatunk a konstrukcióra épülő tervezési hozzáál- 
láshoz. Ebben a szakaszban ezt szemléltetjük egy olyan konstrukciós eljárás 
bemutatásával, mellyel erősen nem-lineáris, balansz S-dobozokat lehet ge- 
nerálni. 

A konstrukció első lépéseként a Maiorana-McFarland-módszerrel gene- 
rálunk egy perfekt (maximális nem-linearitással rendelkező) S-dobozt, majd 
ezt módosítjuk oly módon, hogy az kielégítse a balansz tulajdonságot, és 
nem-linearitása ne csökkenjen jelentős mértékben. 





1. lépés: Maiorana-McFarland-konstrukció. Vegyünk egy f : En s tt 
§S-dobozt, melynek f; komponens Boole-függvényei a következő alakúak: 


fix) — FX) — 7) 02, (2.27) 


ahol i — 1,2,... ,n, xX(D x(2) e 27, és my : GF(2") - GF(2") a következő 
módon definiált függvény: 


(A) — ai o, (2.28) 


ahol a a GF(2") véges test egy primitív eleme, és o a GF(2") feletti szorzást 
jelöli. 
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2. lépés: balansszá tétel. A fent definiált f S-dobozról tudjuk, hogy per- 
fekt, azaz minden komponens Boole-függvénye és azok minden nem triviá- 
lis lineáris kombinációja perfekt. Korábban megmutattuk azonban, hogy a 
perfekt S-dobozok nem elégítik ki a balansz tulajdonságot. Esetünkben f 
minden komponens Boole-függvénye és azok minden nem triviális lineáris 
kombinációja 27—-! — 27-! súlyú. Ezért ahhoz, hogy f-et balansszá tegyük, 
minden komponens Boole függvényének igazságtáblájában 277! darab 0 ér- 
téket 1 értékre kell változtatnunk. Ráadásul ezt úgy kell megtennünk, hogy a 
komponens Boole-függvények nem triviális lineáris kombinációi is kielégít- 
sék a balansz tulajdonságot, mert csak így lesz maga az f S-doboz is balansz. 

Vegyük észre, hogy fi(x(,x(2) — 0 ha x(2) — 0, minden i-re. Tekintsük 
tehát azokat a kimeneteket, amelyek olyan (x(, x(2) ) bemenethez tartoznak, 
ahol x(2 — 0. Ilyenből 27 van. Ezek közül fogunk 277! darabot 1-re vál- 
toztatni. A változtatáshoz a 2" x 2" méretű H, Hadamard-mátrixot fogjuk 
használni, melyet a következőképpen definiálunk: 


— ( Hn-i Hn-i 
H, 7 (s je. 29; (2.29) 


ahol neg az elemenkénti negálás operátora, azaz -H — —(hij) — (—hij), és 
Ho — (0). Az első sort kivéve a fent definiált H,, mátrix minden sorában pon- 
tosan 277! darab 1-es van. Ezen sorok közül választunk n darabot, melyeket 
hi, ha, . . ., hn-nel jelölünk, és az f S-doboz komponens Boole-függvényeit a 
következőképpen módosítjuk: 


(1) 2) — DX) ha (2 40 
FG) (Zn) e iulalD] ha X2) — 0, (2.30) 
ahol h;[X(D] jelöli a A; vektor x(-edik elemét. 

Ekkor a következő tételt mondhatjuk ki: 


2.7. Tétel. A fenti konstrukcióval nyert f" §-doboz balansz, és nem-lineari- 
tása alulról becsülhető a következő kifejezéssel: 


NYZ N() 27 27 zt, 


Bizonyítás: A Hadamard-mátrix tulajdonságaiból adódik, hogy H, minden 
kiválasztott Ai , ha , . . . , hn sorának és azok bármely lineáris kombinációjának 
súlya 2771. Ebből következik, hogy f" minden komponens Boole-függvé- 
nyének és azok minden lineáris kombinációjának súlya 27-Ugyel több, mint 
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f komponens Boole-függvényeinek és azok lineáris kombinációjának súlya. 
Mivel f komponens Boole függvényeinek és azok lineáris kombinációjának 
súlya 2771 — 27-! volt, ezért f" komponens Boole-függvényeinek és azok 
lineáris kombinációjának súlya 227-1.re adódik, ami azt jelenti, hogy f" ba- 
lansz. 

Mivel f minden komponens Boole-függvényének és azok lineáris kom- 
binációjának pontosan 277! darab kimenetét változtattuk meg, ezért f-hez 
képest f" legfeljebb 277!-gyel került közelebb az affin függvények halmazá- 
hoz. Mivel f perfekt, ezért nem-linearitása 227-1. 2771. Innen a tétel állítá- 
sának második része adódik. Ím 


2.2.2. P-doboz tervezés 


Jól ismert tény, hogy a rejtjelező erejét elsősorban az S-dobozok határoz- 
zák meg. A P-doboz lineáris és minden rétegben azonos. A P-doboz fel- 
adata a diffúzió megvalósítása, annak biztosítása, hogy tetszőleges bemeneti 
bit megváltozásának hatása minden S-dobozhoz elérjen valamelyik réteg- 
ben. Azt a P-dobozt, amely kielégíti ezt a követelményt, nem-degenerált P- 
doboznak nevezzük. 

Az S-dobozoknál alkalmazott véletlen választás módszerét a P-doboz ter- 
vezésben is felhasználhatjuk. A következő tételből kiderül, hogy véletlen vá- 
lasztással igen nagy valószínűséggel nem-degenerált P-dobozhoz jutunk. 


2.8. Tétel. Tegyük fel, hogy a rejtjelező egy rétege egy g §-dobozt tartalmazó 
§-doboz rétegből és egy P-dobozból áll. Az 5-dobozok bemenete és kimenete 
legyen n bites. Ekkor annak a valószínűsége, hogy egy véletlenül választott 
P-doboz nem-degenerált, pontosan 
epét 
P(9-1— ERO () ; 


ahol P,(1) — 1 minden n-re. 

Bizonyítás: Egy P-dobozt szemléltethetünk egy irányított gráffal, melynek 
4 csúcsa van, és az i-edik csúcs akkor van összekötve a j-edik csúccsal, ha 
az i-edik S-doboz valamelyik kimeneti bitjét a P-doboz a következő réteg j- 
edik S-dobozának valamelyik bemeneti bitjéhez rendeli. Ha a P-doboz nem- 
degenerált, akkor a gráf bármely csúcsából vezet irányított út bármely másik 
csúcsba. Ennek szükséges és elégséges feltétele, hogy a gráf összefüggő le- 
gyen. A gráf reprezentáció szemléltetésére tekintsük a 2.4. ábrát. 
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2.4. ábra. Egy P-doboz reprezentációja irányított gráffal 


Jelöljük 7,(g)-val azon P-dobozok számát, melyekhez összefüggő gráf 
rendelhető a fent leírt módon. Ha g — 1, akkor az összes lehetséges n! 
P-doboz gráfja összefüggő, hiszen ezen P-dobozokhoz olyan gráf tartozik, 
amelynek csak egyetlen csúcsa van. Így 7,(1) — n!. Vizsgáljuk most azt az 
esetet amikor g 5 1. Ekkor a P-dobozokat osztályozhatjuk aszerint, hogy egy 
rögzített csúcs (például az első) mekkora méretű részgráfhoz tartozik. Itt a 
gráf mérete a csúcsok számát jelenti. Az i. osztály 


(íz 1) T,(1)(an—in)! (2.31) 


P-dobozt tartalmaz, mert pontosan ennyi azon P-dobozok száma, ahol az 
első csúcs egy í méretű összefüggő részgráfhoz tartozik. Ha összegezzük 
a (2.31) kifejezést a lehetséges i értékekre, akkor megkapjuk az összes P- 
dobozok számát, ami (gn)!. A következő kifejezéseket nyerjük tehát T,.(a)-ra 
és P.(9)-ra: 


1 
T4(a) — (at 7 (17) Ken — ing! 


PR(a)- TE 
aa S (a— 1 7(i) (an —iny (in)! 
REG tte (an)! 
9-1 9-1) 
-1-Y Ra a 


A 
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A 2.3. táblázatban látható P,(g) értéke néhány tipikus n és g esetén. Mint 
látható, a véletlen választás már kis n és g értékekre is hatékony módszer 
nem-degenerált P-dobozok tervezésére. 


a — P.(a) 

8 0.99977 

16 0.99997 
4 — 1—3.85-10-7 
8 — 1—1.81-10-? 


0000 A AjS 


2.3. táblázat.  P,(g) értéke néhány tipikus n és g esetén 


2.2.3. A rétegek számának megválasztása 


Shannon ötlete szerint, ha rejtjelezőnk megfelelően sok rétegből áll, és min- 
den réteg más kulccsal van vezérelve, akkor a rejtjelező nehezen törhető, erős 
kódolást valósít meg, annak ellenére, hogy az egyes rétegek könnyen anali- 
zálható, gyenge transzformációkból épülnek fel. Ellentétben az S-doboz ter- 
vezés elméleti megalapozottságával, az irodalomban nem nagyon található 
olyan tétel, mely a szükséges rétegek számára adna valamilyen alsó korlátot. 
Ennek oka valószínűleg az, hogy a rétegek számát nagy mértékben befo- 
lyásolja az alkalmazott rétegfüggvény és a kulcsütemező, ezért a probléma 
általános kezelése igen bonyolult. Két egyszerű tételt azonban így is kimond- 
hatunk. 

Ha legalább a rejtjelező teljességét megköveteljük, akkor a következő alsó 
korlátot kapjuk a rétegek számára vonatkozóan: 


2.9. Tétel. Ha a rejtjelező teljes, akkor rétegeinek r számára a következő 
alsó korlát adható: 
r2log,g-t-1, 


ahol n az 5-dobozok bemenetének és kimenetének mérete, g pedig az S-doboz 
réteg §-dobozainak száma. 


Bizonyítás: A rejtjelező egy bemeneti bitje legfeljebb n S-dobozra lehet ha- 
tással a második rétegben, legfeljebb nr? S-dobozra lehet hatással a harmadik 
rétegben, és így tovább. Végül egy bementi bit legfeljebb n77-! S-dobozra 
lehet hatással az utolsó rétegben. A teljesség csak akkor teljesülhet, ha az 
S-dobozok g száma nem nagyobb, mint n7!, azaz g £ 1771. Mindkét oldal 
logaritmusát véve a tétel állítását kapjuk. mi 
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Egy kicsit erősebb alsó korláthoz jutunk, ha megköveteljük, hogy a rejt- 
jelező kielégítse a lavinahatás kritériumot (feltesszük, hogy az S-dobozok 
kielégítik azt): 

2.10. Tétel. Ha a rejtjelező kielégíti a lavinahatás kritériumot, akkor réte- 
geinek r számára a következő alsó korlát adható: 
jé log N—1 8 
— logjn—1 

ahol n az §-dobozok bemenetének és kimenetének mérete, N pedig a teljes 
rejtjelező blokkmérete, azaz N — gn. 
Bizonyítás: Mivel az S-dobozok kielégítik a lavinahatás kritériumot, ezért 
megváltoztatva egy bemeneti bitet, várhatóan a kimeneti bitek fele, azaz 5 
bit változik meg. Ezért az előző tétel bizonyításának gondolatmenetét kö- 
vetve, egy bit változása a rejtjelező bemenetén várhatóan (691 kimeneti bit 
változását okozza. Ha a rejtjelező kielégíti a lavinahatás kritériumot, akkor 

5) 2 3 kell, hogy teljesüljön. Mindkét oldal logaritmusát véve a tétel állí- 

2 13 1 gari 
tása következik. Ím 


Ha például N — 64, n — 4 és g — 16, akkor a rétegek száma legalább 5. 

2.3. Differenciális és lineáris kriptanalízis 

A rejtjelező tervezőjének tisztában kell lennie az alapvető kriptanalízis mód- 
szerekkel is, hiszen a várható támadások nagymértékben befolyásolhatják a 
tervezést. Ez olyannyira igaz, hogy a tervezési kritériumok nagy része va- 
lamilyen támadás elleni védekezés ellenszereként született. Ha meg tudjuk 
mondani, hogy egy rejtjelező mennyi erőfeszítés árán törhető fel egy adott 
támadási módszerrel, akkor ezzel lényegében a rejtjelezőt minősítettük, így a 
kriptanalízist minősítésre is használhatjuk. Itt most röviden összefoglaljuk a 
ma ismert két legerősebb támadás, a differenciális és a lineáris kriptanalízis 
alapjait. 


2.3.1.  Differenciális kriptanalízis 


A differenciális kriptanalízis alapvetően egy választott nyílt szövegű táma- 
dás. Azon alapszik, hogy bizonyos bemeneti differenciákra a kimeneti dif- 
ferenciák nem egyenletes eloszlásúak, azaz vannak olyan kimeneti differen- 
ciák, amelyek nagyobb valószínűséggel fordulnak elő, mint mások. A táma- 
dás felhasználja még azt is, hogy a rejtjelező Feistel-típusú, tehát az utolsó 
réteg F függvényének bemenete ismert, ha a rejtjeles blokk ismert. 
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A támadás alapgondolata. DES típusú eszközöknél az F függvény egy E 
lineáris transzformációból, egy kulcs injekciós műveletből, egy S-doboz ré- 
tegből és egy P invertálható lineáris leképezésből, általában egy bitpermutá- 
cióból áll (2.3. ábra). Formálisan Y — F(X,K)—POS(EOXOK). 

Először azt vizsgáljuk meg, hogy hogyan lehet megfejteni a kulcs egy 
részét, ha ismerjük az utolsó, r-edik réteg F függvényének X és X" beme- 
netét, valamint ezen bemenetekhez tartozó Y — F(X, K,) és Y" — F(X",K,) 
kimenetek Y GY" differenciáját. Ha a bemenetek ismertek, akkor a bemene- 
tek differenciája is ismert. Mivel a kulcs injekció hatástalan a differenciákra 
nézve, aaz EOXOEOXt"—EOXOEK,BEOX" 0 K,, ezért ismert az 
§S-doboz réteg bemenetén megjelenő differencia. A kimenetek differenciájá- 
ból a bitpermutáció invertálhatósága miatt meghatározható az S-doboz réteg 
kimenetén megjelenő differencia is. Így ismerjük az S-dobozok bemeneti és 
kimeneti differenciáit, amelyből meg tudjuk mondani, hogy melyek azok a 
párok, melyek megjelenhetnek az S-doboz réteg bemenetén, Ezen lehetséges 
párok, valamint az F bemenetén ténylegesen megjelenő pár ismeretében meg 
tudjuk mondani, hogy melyek a lehetséges kulcs értékek. Ezt az eljárást több 
X és X" bemenetre, valamint a hozzájuk tartozó kimenetek Y € Y" differen- 
ciájára végrehajtva mindig megkapjuk a lehetséges kulcs értékeket. Ha elég 
sok párt megvizsgálunk, akkor csak az igazi kulcs fog mindig megjelenni a 
lehetséges értékek között. 

A probléma az, hogy általában nem ismerjük az utolsó réteg F függvé- 
nyének kimenetén megjelenő differenciát. Azt azonban meg lehet mondani, 
hogy adott bemeneti differencia esetén az (r— 1)-edik réteg kimenetén az 
egyes kimeneti differenciák milyen valószínűséggel jelennek meg. Kereshe- 
tünk olyan bemeneti differenciát, melyre a kimeneti differenciák az egyenle- 
testől lényegesen eltérő valószínűséggel jelennek meg az (r— 1)-edik réteg 
kimenetén, és kiválaszthatunk ezek közül egy kimeneti differenciát, mely az 
egyenletesnél nagyobb valószínűséggel jelenik meg. Az (r— 1)-edik réteg 
kimeneti differenciájából és a rejtjeles blokkokból viszont már igen egysze- 
rűen számítható az utolsó réteg /-jének kimeneti differenciája, és alkalmaz- 
hatjuk az előző algoritmust. Most is megkapjuk a lehetséges kulcs értékeket, 
de nem biztos, hogy köztük lesz az igazi kulcs. Előfordulhat ugyanis, hogy 
nem az általunk remélt kimeneti differencia jelenik meg az (r— 1)-edik ré- 
teg kimenetén. Ha azonban sokszor próbálkozunk, akkor minden kulcs közel 
egyenletes valószínűséggel fog megjelenni, kivéve az igazi kulcsot, ami az 
egyenletesnél nagyobb valószínűséggel jelenik meg a lehetséges kulcs érté- 
kek között, és így az igazi kulcs kiválasztható. 
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2.2. Algoritmus. A differenciális kriptanalízis fő lépései tehát a követke- 

zők: 

1. Keressünk egy olyan (AP, AC") differencia párt, melyre AP bemeneti dif- 
ferencia esetén az (r— 1)-edik réteg kimenetén nagy valószínűséggel AC" 
differencia jelenik meg. 

2. Vegyünk M darab (P, P") nyílt szöveg párt, ahol a párokat alkotó blokkok 
differenciája éppen AP. 

3. Feltételezve, hogy az (r— 1)-edik réteg kimeneti differenciája AC", és fel- 
használva az r-edik réteg kimenetén megjelenő (C,C") rejtett szöveg párt, 
valamint ezek differenciáját, megkapjuk az utolsó réteg F függvényének 
C(R) és CR) bemenetét és AC(D g ACD) kimeneti differenciáját. Ezek 
ismeretében minden nyílt szöveg párra határozzuk meg az utolsó réteg 
lehetséges kulcsainak halmazát. 

4. Számláljuk meg, hogy az egyes kulcsok hányszor jelentek meg lehetséges 
kulcsként. A leggyakrabban megjelenő kulcs az igazi. 


Differencia-átmenetek valószínűségének meghatározása. A támadáshoz 
szükséges nyílt szöveg párok száma lényegében attól függ, hogy adott AP 
bemeneti differencia esetén mekkora valószínűséggel jelenik meg az (r—1)- 
edik réteg kimenetén a feltételezett AC" differencia. Minél nagyobb ez a va- 
lószínűség, annál kevesebb nyílt szövegre van szükség. Ezért jó lenne tudni, 
hogy adott bemeneti differencia esetén, az egyes kimeneti differenciák mi- 
lyen valószínűséggel jelennek meg az (r— 1)-edik réteg kimenetén. Jelöljük 
AZ;-vel az i-edik réteg bemenetén megjelenő differenciát. Ekkor a következő 
feltételes valószínűségre vagyunk kíváncsiak: 


Pr(AZ, — CAZI — €1)- (2.32) 
Ha a rejtjelező Markov-típusú (a legtöbb DES típusú eszköz ilyen), akkor 
igaz a következő: 


Pr(Az,- Jaz -j— E fÍprfAza—6ulaz— 6). 0233) 
€2.Cs..r-n 7 


A kérdés tehát az, hogy hogyan lehet a 


Pr(AZ44a — Galaz — 6) 62.34) 
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feltételes valószínűséget kiszámolni, vagyis megmondani, hogy adott beme- 
neti differencia esetén adott kimeneti differencia milyen valószínűséggel je- 
lenik meg egy réteg vonatkozásában. 

Ha az i-edik réteg bemeneti differenciája Ő; — e, 6 AR), kimeneti dif- 
ferenciája pedig Cri — (ah, 0; akkor a Feistel-struktúra miatt az F 
függvény bemeneti differenciája AX" — C; (R) 2 -(h, kimeneti differenciája 
pedig AY" — CG; 0 ot. Mivel a kulcs injekció hatástalan a differenciákra 
nézve, ezért az S-doboz réteg bemenetén a AX — E 0 AX", kimenetén pedig 
a AY — P-! 0 AY! differencia jelenik meg. Tegyük fel, hogy az S-doboz ré- 
teg k darab sj : 237 — 27 S-dobozból áll. Ekkor a j-edik S-doboz bemeneti 
differenciája Axj, kimeneti differenciája Ayj, ahol AX — (Ax, Ax2, . . . 5 Axr), 
Axj € 27, és AY — (Ay1, Ay2, . .., Ayx), Ayj € 27. Annak a valószínűsége, 
hogy a j-edik S-doboz kimeneti differenciája Ayj, feltéve, hogy a bemeneti 
differenciája Axj, könnyen megadható az S-doboz differencia eloszlási táb- 
lájának segítségével: 


1 
Pr(Axy 5 Ayj) — alte 29: s) osj(xo Ax) — Ayj)I 2.35) 
1 
— s DDT5(Axj, Ayj). 
Ezt felhasználva megkapjuk a keresett valószínűséget: 
Pr(AZ44a — Galaz— 6) - Par — [Doctor - Th) 

- Pr(AX" 5 AY) (2.36) 
- EST ÉM st AY) 
sz - Úrprtas ? a 5 Ayj) 


1 
zaDDTS(Axj, Ayj)- 


jen bv 


I 


j 


Nagy valószínűségű differencia sorozat keresése. Sajnos a (2.33) kifejezés- 
ben szereplő szumma miatt (2.32) értékének pontos meghatározása a gya- 
korlatban szinte lehetetlen. Szerencsére nekünk az is elég, ha találunk egy 
olyan Ci, ő2, . . . , (r sorozatot, melyre 


r—1 
ITPHAZ:a — Galaz:— Gy (2.37) 
í—I 
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elég nagy, azaz jelentősen eltér az egyenletestől, hiszen ez már biztosítja azt, 
hogy €1 bemeneti differencia esetén az (r— 1)-edik réteg kimenetén a Éz 
differencia nagy valószínűséggel jelenik meg, és a támadás ezt használja ki. 
Feladatunkat tehát a következőképpen fogalmazhatjuk meg: 


Keressük azt a C1, 2, . . . , § differencia sorozatot, melyre 

6) CR — TP) minden i — 1, 2, .. . ,r— 1 esetén, továbbá 

(Gii) TT-! P maximális, ahol P.— Pr(t(9 E, 10 a ey 
éz Ti tj pré új zi ia 


Tippek és trükkök. A könnyebb érthetőség kedvéért eddig nem foglalkoz- 
tunk vele, most viszont megemlítjük, hogy a 2.2. algoritmus 4. pontja kicsit 
elnagyolt. Nevezetesen arról van szó, hogy ha minden lehetséges kulcs szá- 
mára fenntartunk egy számlálót, akkor az algoritmus tárigénye borzasztóan 
nagy lesz, és a gyakorlatban nem is alkalmazhatjuk. Gondoljunk például a 
DES-re, ahol a rétegkulcs 48 bites, és így 28 darab számlálóra lenne szük- 
ségünk. Ezért általában nem figyeljük az összes kulcsbitet, helyette csak 
néhány kulcsbitre, tipikusan egy kiragadott S-dobozba belépő kulcsbitekre 
koncentrálunk. Ekkor persze a rejtjeles blokkokból és az (r— 1)-edik réteg 
kimeneti differenciájából is csak azokat a biteket használjuk fel, amelyeknek 
az adott S-dobozra hatásuk van. Ezzel csökkenthetjük az algoritmus tárigé- 
nyét, ugyanakkor belátható, hogy ekkor több nyílt szöveg — rejtett szöveg 
párra van szükség a sikeres támadáshoz. Itt tehát kompromisszumra kény- 
szerülünk. 

A szükséges nyílt szöveg — rejtett szöveg párok számát ún. guartettek 
használatával csökkenthetjük. Tegyük fel, hogy rendelkezésünkre áll egy 
nagy valószínűségű €1, 2,..., Cr és egy nagy valószínűségű €1, 4, ..., Ci 
differencia sorozat, és ezen sorozatokat külön-külön használva a rejtjelező 
feltöréséhez M számú €i illetve €/ differenciájú nyílt szöveg pár, azaz 2M 
számú nyílt szöveg szükséges. Ügyesen választott nyílt blokkokból álló guar- 
tetteket használva párhuzamosan használhatjuk fel a két nagy valószínűségű 
differencia sorozatot. Tekintsük például a (PPOCi, POCTPOGO ő) né- 
gyest, mely felfogható két nyílt szöveg párnak, ahol a párokban a differencia 
€1, ugyanakkor meghatároz két másik párt is, ahol a differencia (1. Egy ilyen 
guartett mindkét differencia sorozat számára két nyílt szöveg párt biztosít. 
Mivel egyszerre használjuk a két differencia sorozatot, ezért mindkettőnek 
he számú nyílt szöveg pár kell a sikeres támadáshoz. ű guartett mindkét so- 
rozat igényét egyszerre kielégíti. Ez azt jelenti, hogy M darab nyílt blokk 
elegendő a támadáshoz. 
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Kérdés, hogy hogyan lehet védekezni a differenciális kriptanalízis ellen. 
Mivel az előzőek alapján a rejtjelező differenciális viselkedése az S-dobozok 
differenciális viselkedésétől függ, ezért a kérdésre az S-doboz tervezésben 
kell keresni a választ. Valóban, ha az S-dobozok differencia eloszlási táb- 
lájában nincsenek kirívóan magas értékek, akkor bármilyen bemeneti dif- 
ferencia esetén bármilyen kimeneti differencia közel egyenlő valószínűség- 
gel jelenik meg, és így nem lesz olyan bemeneti-kimeneti differencia pár, 
amelyre (2.32) jelentősen eltér az egyenletestől, tehát a differenciális kript- 
analízis nem alkalmazható. Úgy gondolnánk, hogy a célnak legjobban a per- 
fekt S-dobozok felelnek meg, melyek differencia eloszlási táblája teljesen 
egyenletes. De sajnos a perfekt S-dobozok nem balanszok, ami pedig egy 
alapvető követelmény. Így azt mondhatjuk, hogy olyan S-dobozokat érdemes 
keresni, amelyek majdnem perfektek, differencia eloszlási táblájuk majdnem 
egyenletes, nincs bennük kirívóan magas érték, de egyúttal más kriptográfiai 
tulajdonságokat, mint például a balansz tulajdonságot megőrzik. 

2.1. Példa. A differenciális kriptanalízist a 2.5. ábrán látható, demonstrá- 


ciós célokat szolgáló mini rejtjelezőn szemléltetjük, melynek S-dobozát és 
differencia eloszlási tábláját rendre a 2.4. és a 2.5. táblázat tartalmazza. 





2.5. ábra. A példaként használt mini rejtjelező felépítése 
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bemenet 0 1 2 3 4 
g8 1 


9. 6 TAB ABC DIRE 
kimenet A D 3 B. ACdr ed RG 94 7 6LB 





2.4. táblázat. A mini rejtjelező S-doboza 





1860900000000000000 
o KS RK, llér ZRB : NAL ő : BG éle FG : HB Htv 1896 : Úáá. HE Kat 1) 
0.22 ÜT TOLD: 40 7Ő Gá 
0.272 220 EÜ OLT B 0 2 B 
ÜL ABE. zők ök LL A 1 SÉZ al MG 2 AE Rt 14 : 794 Bő : HG : 
Lt dt Ete ZER BE : JER ült NBBBL VE SZ , TÖBB : KÖRE VEG SAKE HA : E 
SEC zzlév Zé a , JE: öle, nt. jé r Hölt.Za  hrái ANT CJK 
BŐ LO CSOL Ő Rea ke ZET ÜLT 
220 0222 BR 0-0 ZO. 02 
OAPDÜ 22 dsg ÜÖLE a HG Ta 
VI3-2 NA ZEZ E ZÜSŐT ÖSÜr a 0 BŐ 
Ú 8 B 2 GB ZA ÖR OD Ta 
ja A TAK Ér 3806 TB ! 180! ak, : B SE: NEG al E B 
0900000000800 0 4 4 0 
Lk téka S Ua ER, lötár 38 : E : 2284 Ja : HEG 5lb B8E : b. : 
HD JO ák TO 4 Ő E 0 





2.5. táblázat. A mini rejtjelező S-dobozának differencia eloszlási táblázata 


A rejtjelező S-dobozát és annak differencia eloszlási táblázatát megvizs- 
gálva észrevehetjük, hogy DDT5(D,9) — 8, ami azt jelenti, hogy PríD 5 
9) — 2- Ezért ha a rejtjelező bemeneti differenciájának a 9D-t választjuk, 
akkor a 2.6. ábrán látható differencia átmenetekhez jutunk. Az első réteg 
F függvényének bemeneti differenciája D, kimeneti differenciája 2 valószí- 
nűséggel 9. A második réteg F függvényének bemeneti differenciája így bi 
valószínűséggel 0. Ekkor persze a kimeneti differencia is 0. Így a harma- 
dik réteg F függvényének bemeneti differenciája : valószínűséggel D, azaz 
az utolsó réteg F függvényének kimeneti differenciája Fi valószínűséggel 
AC(R) 6 D. Mivel a rejtjeles blokkok ismertek, ezért az utolsó réteg F függ- 
vényének ismerjük CD) és CD) bemeneteit és 2 valószínűséggel ismerjük 
kimeneti differenciáját, ami alapján meghatározhatjuk az utolsó réteg lehet- 
séges kulcsait. Több 9D differenciájú nyílt blokk párt is megvizsgálva szám- 
láljuk az egyes kulcsok előfordulásának számát. A leggyakrabban megjelenő 
kulcs az igazi. 
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PIPOLAPD a 9 POP APY a D 








ce AC CV ER ACV 


2.6. ábra.  Differencia-átmenetek 9D bemeneti differencia esetén 


A fenti gondolatokat felhasználva elvégeztünk egy kísérletet. A rejtje- 
lező kulcsának az ABBA értéket választottuk, így az utolsó réteg kulcsa az 
A volt. Rejtjeleztünk 20 véletlenszerűen választott nyílt szöveg párt, ahol a 
párok elemeinek differenciája a 9D volt. A rejtjeles blokkokat felhasználva 
és feltételezve, hogy az utolsó réteg F függvényének kimeneti differenciája 
AC(P) gp, minden párra meghatároztuk az utolsó réteg lehetséges kulcsainak 
halmazát. Számoltuk, hogy az egyes kulcsok hányszor jelentek meg lehetsé- 
ges kulcsként. Az eredményeket a 2.6. táblázat mutatja, melyből jól látható, 
hogy az A fordult elő legtöbbször. 4 





beltieet , DDR 5 6 TER RB ED BE 
jmetet Ő Ő 24 23 02397 3.8 3 4 0 2. 1 





2.6. táblázat. Lehetséges kulcsok előfordulásának gyakorisága 9D bemeneti diffe- 
rencia esetén 
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. 2.32. Lineáris kriptanalízis 


A lineáris kriptanalízis alapvetően egy ismert nyílt szövegű támadás DES 
típusú rejtjelezők ellen. A támadás célja a kulcs vagy a kulcs egy részének 
megfejtése egy effektív lineáris közelítés és nagy számú nyílt szöveg - rejtett 
szöveg pár segítségével. Központi kérdés az effektív lineáris közelítés meg- 
keresése, ezért először ezt vizsgáljuk majd. Előtte azonban bebizonyítjuk a 
következő lemmát, amit a későbbiekben gyakran fel fogunk használni. 


2.11. Lemma (Piling-up lemma). Legyenek XI, X2, . . . , Xn független valószí- 
nűségi változók, melyekre X; € (0,1) és Pr(X; — 0) — p; — ; - gi minden 
i-re. Ekkor 


ü 
1 
Pr((DX.— 0) — 2 42 ag2 da (2.38) 


izi 
Bizonyítás: A lemma állítását n szerinti teljes indukcióval bizonyítjuk be. 
Először vizsgáljuk az n — 2 esetet: 
Pr(X1.0X2—0) — Pr(Xi —0,X2 —0)--Pr(Xp —1,X2— 1) 
-— pip2t(1—pi)(1— pa) 
1 1 1 1 
ig; (G ta 4g2)-k G -aG —g2) 
1 
Eg 29192. 


Most tegyük fel, hogy az állítás n — 1-re igaz. Legyen 


Az indukciós feltétel miatt, Pr(Y —0)—1--272gig2...4n-i — 4-4 0, va- 
lamint 


PHODX; -0)-Pr(YOX,—0) 


í—1 


1209n 


1 
2 
1 —1 

2 FT dig2---dn- is) 
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A rejtjelező lineáris közelítése. A linearizálást az S-dobozok lineáris közelí- 
tésével kezdjük, majd kiterjesztjük az egész rejtjelezőre. 

Minden s : 277 — 27 §-doboz és a e 297,B e 27 esetén felírhatjuk a 
következő lineáris kifejezést: 


a oxoBos(x) —0. (2.39) 


Ez az s függvény egy lineáris közelítése, mely 


p- aelíre 2: aoxoBOs(x) —0 
B3 27(LAT(a,b)--27) 


1 , LAT(aB) 


2 7 ss 


1 
valószínűséggel áll fenn. 

Egy k S-dobozból álló S-doboz réteg felfogható úgy is, mint § : ze o 
2" leképezés, ahol S(X") — (s1(x1), s2(x2),  . - , sx(xx)), X"— (x1.x2. xx), 
ge ZT, s: 2? — 27,i— 1,2,...,k. Ha minden s-re van lineáris közelí- 
tésünk: 


a; Ox 0 BO si(xi) — 0, (2.40) 


mely 5-4di valószínűséggel áll fenn, akkor az S-doboz réteget közelíthet- 
jük az 
A OX EB OS(X) —0 (2.40 
kifejezéssel, ahol A" — (c , 02, . . . , 04), B" — (Bi, Bo, . . - ; Bx) . (2.41) teljesü- 
lésének valószínűsége a Piling-up lemma alapján 0" — 5 -k Vgig2"..." gk. 
Megjegyezzük, hogy ha minden i — 1, 2, . . . ,k-ra aj — 0 és B; — 0, akkor 
minden i-re g; — 2 és így 0" — I, azaz az S-doboz réteg egy olyan lineáris 
közelítését nyertük, mely biztosan fennáll. Később, mikor a rejtjelező min- 
den rétegét közelítjük majd, szívesen alkalmazzuk a fenti biztos közelítést 
a lehető legtöbb rétegben, mert ez növeli a teljes rejtjelezőre kapott közelí- 
tés fennállásának valószínűségét. Persze minden rétegben nem alkalmazhat- 
juk, mert akkor a rejtjelező egy olyan közelítéséhez jutnánk, amely ugyan 
1 valószínűséggel fennáll, de egyetlen bemeneti, kimeneti és kulcsbitet sem 
tartalmaz, és így használhatatlan. 
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Itt ragadjuk meg az alkalmat, hogy bevezessük az aktív S-doboz fogalmát, 
amit később még használni fogunk. Ha valamely i-re o; 5 0 vagy B; 7 0, 
akkor azt mondjuk, hogy az i-edik S-doboz aktív a közelítés során. 

Felhasználva, hogy az S-doboz réteg bemenetén megjelenő X"-re X" — 
EOGXOK, továbbá az S-doboz réteg kimenetén megjelenő Y"-re Y" — P-! o 
Y, a (2.41) lineáris közelítést kiterjeszthetjük az egész F függvényre: 


A O(EOXOK) OB oP !oY -0, (2.42 


azaz 
AOXOBOYOGOK —0, (2.43) 


ahol A — 4" OE,B— BIO P-! és G — A!. (2.43) valószínűsége megegyezik 
(2.41) valószínűségével. Ez tehát azt jelenti, hogy az F függvény bemene- 
tének, kimenetének, és az F függvénybe belépő kulcsnak az A, a B, illetve 
a G vektorok által maszkolt bitjei 0" valószínűséggel lineáris kapcsolatban 
állnak egymással. Mivel A értéke általában meghatározza G értékét, ezért 
(2.43) helyett röviden csak annyit írunk, hogy Pr(A[F]B) — 0. 

Az utolsó lépés a közelítés kiterjesztése az összes rétegre. Ebben fel fog- 
juk használni, hogy a rejtjelező Feistel-típusú, azaz, hogy az i-edik réteg 
(Li, R;) bemenetére és (L41, R;4.1) kimenetére: 


Lisa — Ri 
Ria — LO F(R;, Ki). 


ahol K; az i-edik réteg kulcsa. Megjegyezzük, hogy a fenti jelölést használva 
az utolsó réteg után L, 41 és R,41 értékét fel kell cserélni. 
Ha mind az r réteg F függvényére van lineáris közelítésünk: 


A:OX;OBJFOKOGJOK; — 0, (2.44) 


ahol X; — R; — Li41,X — LO Ra — X.16X41,i — 1,2,...,r, továbbá a 
közelítések olyanok, hogy minden i — 2,3,...,r— 1 esetén teljesül, hogy 
Bi. 1 CA; E Bi4 1 — 0, akkor az r darab egyenlet összeadása után azt kapjuk, 
hogy 


B.OXo0O(A160 B) OXI 0(A.OB,. 1) 


k 2.45, 
OX.EB,.OX. 1 OEDGOKI—0, c 


1-1 
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azaz a teljes rejtjelező lineáris közelítését nyerjük: 
TOPOYOC—-KOK, (2.46) 


ahol 7 — (Bi, Ai E B2), Y— (B, A. 8 B,. 1), továbbá P jelöli a nyílt blokkot, 
P — (Xo,X1), és C jelöli a rejtjeles blokkot, C — (X,41, X.). K a rejtjelező 
teljes kulcsa, K pedig a kulcsütemező, és a G;-k ismeretében könnyen meg- 
határozható. Ha (2.44) 0; — : -H O; valószínűséggel állt fenn, akkor (2.46) 
valószínűsége 3 -42719102-...-0.— 340. 

A lineáris közelítés használhatósága a JO] értékétől függ. Minél nagyobb 
10] értéke, annál effektívebb a lineáris közelítés, ugyanis annál jobban eltér 
3-től annak a valószínűsége, hogy (2.46) fennáll. 


A támadás algoritmusa. A (2.46) lineáris közelítés ismeretében meghatá- 

rozhatunk egy bitet a kulcsból, nevezetesen K O.K értékét. Ezt a következő 

algoritmus segítségével tehetjük meg: 

2.3. Algoritmus. Az algoritmus K OK értékét próbálja meg kitalálni. Az 

algoritmus lépései a következők: 

1. Vegyünk N darab nyílt blokk — rejtett blokk párt. 

. Legyen T azon párok száma, melyekre (2.46) bal oldala 0. 

. HaT 5 N/2, akkor 0 5 0 esetén KOK — 0-ra, míg 0 £ 0 esetén KOK — 
1-re döntünk, egyébként 0 5 0 esetén KOK — 1-re, míg 0 S 0 esetén 
KOK — 0-ra döntünk. 


4 N 


Az algoritmus annál sikeresebben működik, minél nagyob N és IO] ér- 
téke. Mint látható, ezzel a módszerrel csak egy kulcsbitet lehet kitalálni, ami 
még nem elegendő. Egy kis továbbgondolással azonban a módszer alkalmas 
több kulcsbit megfejtésére is. Az ötlet azon alapszik, hogy a Feistel-típusú 
rejtjelezőknél az utolsó réteg F függvényének bemenete ismert, hisz az nem 
más, mint a rejtjeles blokk jobb fele. Felhasználva egy (r— 1) réteges lineáris 
közelítést: 

TOPOYOC -KOK, (2.47) 
ahol C" az (r — 1)-edik réteg kimenete, és azt a tényt, hogy C" — (L,,R,) — 
(410 F(R,41, Kr), Rr41), azt kapjuk, hogy 


TOPOTOCOGOF(R 41. K) —KOK, (2.48) 


ahol d — y, ami y bal felét jelöli, és C — (L,.4.1, Rr4.1). (2.48) fennállásának 
valószínűsége megegyezik (2.47) valószínűségével. (2.48) bal oldalát ismert 
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nyílt blokk — rejtett blokk párok esetében kiszámolhatjuk, ha K, helyére be- 
helyettesítünk egy értéket. Ha K, helyére rossz értéket helyettesítünk, akkor 
a bal oldal közel 2 valószínűséggel 0, ellenben helyes érték behelyettesítése 
esetén a bal oldal 5-től eltérő valószínűséggel lesz 0, feltéve, hogy (2.48) 
elég effektív. Így a következő algoritmust alkalmazhatjuk, mellyel egynél 
több kulcsbitet is kitalálhatunk: 


2.4. Algoritmus. A több kulcsbit megfejtését végző algoritmus lépései a kö- 
vetkezők: 


1. Vegyünk N darab nyílt blokk — rejtett blokk párt. 


2. K, helyére helyettesítsük be az összes lehetséges K(? értéket (i — 1, 2, . . .), 
és jelöljük 7/-vel azon párok számát, melyekre (2.48) bal oldala 0. 


3. Legyen Tax — max; T; ÉS Tmin — min; 77. 


4. Ha ITax—N/21 - ITrin —N/2], akkor a Tax-hoz tartozó K, értéket fogad- 
juk el, és 0 5 0 esetén KOK — 0-ra, míg 0 £ 0 esetén KOK — 1-re dön- 
tünk. Ha ITmax — N/21 £ ITmin — N/2], akkor a 7in-hez tartozó K, értéket 
fogadjuk el, és 0 5 0 esetén KOK — I-re, míg 0 £ 0 esetén KOK — 0-ra 
döntünk. 


Effektív lineáris közelítés keresése. Most bevezetjük a maszk sorozat fogal- 
mát, amelynek segítségével az effektív lineáris közelítés keresésének prob- 
lémáját a nagy valószínűségű differencia sorozat keresésének problémájá- 
hoz hasonlóan fogalmazhatjuk meg. Jelöljük az i-edik réteg bemenetén al- 
kalmazott maszkot ő; — (ED, EP rel. Maszk sorozat alatt az egyes réte- 
gek bemenetén alkalmazott maszkok €1,ő2, . . . , 6 sorozatát értjük. Ha azt 
szeretnénk, hogy az egyes rétegek F függvényének bemeneti és kimeneti 
maszkjaira minden i — 2, 3, . . . ,(— 1 esetén teljesüljön a B;. : BA; Biy1—0 
összefüggés, és az egyes rétegek lineáris közelítéseit összeadva a rejtjelező 
(2.46) szerinti lineáris közelítéséhez jussunk, akkor az A; — €(9 a ED , il. 


letve B; — €(0 — E(9 egyenleteknek kell teljesülniük. Ezeket figyelembe 
véve a legjobb (r— 1) rétegű lineáris közelítés megkeresésének feladata a 
következőképpen fogalmazható meg: 


Keressük azt a 61, 2, . . . , Ér maszk sorozatot, melyre 
(6) 62 — ED) mindeni — 1, 2, ... ,r— 1 esetén, továbbá 
(ü) TTI 101] maximális, ahol 21— PE a ED (Fi) EM) — 4. 
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Figyeljük meg az effektív lineáris közelítés keresése feladatának és a nagy 
valószínűségű differencia sorozat keresése feladatának nagy mértékű formai 
hasonlóságát. 


Tippek és trükkök. A 2.4. algoritmus második pontja első látásra elszomo- 
rító, hiszen az összes lehetséges K, kipróbálása elég reménytelen dolog. Sze- 
rencsére $ O F(R, 41, Kp) értéke nem függ K, összes bitjétől, sőt általában 
csak kevés bittel van kapcsolatban. Lényegében $-től függ, hogy hány érté- 
ket kell behelyettesíteni K,-be. Ha például $ olyan maszkot eredményez az 
S-doboz réteg kimenetén, amely csak egyetlen S-dobozt tesz aktívvá, akkor 
2" K, érték jöhet számításba, ahol m az S-doboz bemenetének mérete. 

A lineáris kriptanalízis alkalmazhatósága azon múlik, hogy létezik-e ef- 
fektív lineáris közelítés. Mivel a rejtjelező lineáris közelítésének valószínű- 
sége visszavezethető az S-dobozok közelítésének valószínűségére, ezért ha 
az S-dobozok nem közelíthetőek effektíven, akkor a teljes rejtjelező sem. 
Az S-dobozok lineáris közelíthetőségét pedig lineáris approximációs táblá- 
juk határozza meg. Ha a lineáris approximációs táblában nincs kirívóan nagy 
abszolút értékű elem, akkor nincs igazán effektív lineáris közelítés sem. A 
tökéletes megoldásnak itt is perfekt S-dobozok látszanak, de az előző sza- 
kaszban már tisztáztuk, hogy a tökéletes egyenletesség miért nem jó még- 
sem. A megoldást tehát ismét a majdnem perfekt S-dobozok jelentik, melyek 
nem-linearitása a lehető legnagyobb, de más kriptográfiai tulajdonságaik (pl. 
a balansz tulajdonság) is megvannak. 


2.2. Példa. A lináris kriptanalízist a 2.1. példa mini rejtjelezőjén szemléltet- 
jük. Ehhez szükségünk lesz a mini rejtjelező S-dobozának lineáris approxi- 
mációs táblájára, melyet a 2.7. táblázat tartalmaz. 

Az S-doboz lineáris approximációs táblázatát megfigyelve látható, hogy 
LATS(9,6) — 4, azaz az S-doboz 


90xE60s5(x) —0 


lineáris közelítése gy — 4 4 4 valószínűséggel fennáll. A lináris közelítést 
kiterjesztve az F függvényre a következő egyenlethez jutunk: 


90XI.E90KI 60XV — 0, 


mely ugyancsak g/ valószínűséggel áll fenn. A második és a harmadik ré- 
tegben a 
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2.7. táblázat. A mini rejtjelező S-dobozának lineáris approximációs táblája 


40X2O40KLDBOY —0 
50X3050K320XY-0 
közelítéseket hasznájuk, melyek 9 — gZ — 2 jén s valószínűséggel állnak 
fenn. 
Felhasználva, hogy Xi — P(8), Yy —PD 9 Xx., xx —- PR ocW9 p F(CD, 
K4), Xs- CÍN gp F(CO Ka) és Yz; — C(D 9 X., valamint összeadva a fenti 
lineáris közelítéseket a rejtjelező következő lineáris közelítéséhez jutunk: 


SoPDp1oPAp2OCAgpocAuDoF(cB ka) 
O9OKID4OK2O5OK3—0 


Tömörebben: 
S1OPOEZDDOCODOF(CD ,K4) —94500K, 


mely 9" — 3-4225(—5)(—) — 4 7-1; valószínűséggel igaz. Ezt a közelítést 
használhatjuk a 2.4. algoritmusban. 4 
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2.3.3. A DES tervezése során alkalmazott tervezési kritériumok 


Miután a differenciális kriptanalízis nyilvánosan is ismertté vált (a kilenc- 
venes évek elején), a DES tervezői elismerték, hogy a DES tervezésekor (a 
hetvenes évek elején!) ők már ismerték ezt a támadási módszert, és mind 
az S-dobozokat, mind a rétegek számát úgy választották meg, hogy a DES 
ellenálljon a differenciális kriptanalízisen alapuló támadásnak. Bár nem árul- 
ták el, hogy vajon ez volt-e a legerősebb támadás, aminek tudatában voltak, 
és ami ellen felkészítették a DES-t, az S- és P-doboz tervezés során használt 
kritériumokat felfedték. 
A DES S-doboz tervezési kritériumai a következők voltak: 

un Minden §S-doboz bemenete 6, kimenete 4 bites legyen. (Az akkori tech- 
nológia korlátai maximálisan ekkora méretű S-dobozokat engedtek meg. 
Ezek a méretek lehetővé tették, hogy a DES-t egyetlen chip-be integrál- 
ják.) 

u Egyetlen S-doboz egyetlen kimeneti bitje se legyen közel a bemeneti bitek 
valamely lineáris függvényéhez. (Tehát a nem-linearitás legyen nagy.) 

m Ha rögzítjük a két szélső bit értékét, és csak a bemenet középső négy bit- 
jét változtatjuk folyamatosan, akkor a kimeneten minden 4 bites vektor 
pontosan egyszer jelenjen meg. (Azaz az S-dobozban található 4 darab 4 
bitet 4 bitbe helyettesítő tábla mindegyike legyen balansz. Ekkor persze 
maga az S-doboz is balansz, vagyis minden 4 bites kimeneti vektor pon- 
tosan négyszer jelenik meg, ha a bemeneten minden lehetséges értéket 
végigpörgetünk.) 

m Ha az S-doboz bemenetén egyetlen bitet megváltoztatunk, akkor a kime- 
neten legalább két bit értéke változzon meg (lavinahatás). 

mu Ha az S-doboz bemenetén a két középső bitet megváltoztatjuk, akkor a 
kimeneten legalább két bit értéke változzon meg. 


n Ha két bemeneti vektor első két bitje különböző, utolsó két bitje azonos, 
akkor a megfelelő kimeneti vektorok nem lehetnek azonosak. 


u Tetszőleges, nem nulla bemeneti differencia esetén, az adott differenciá- 
val rendelkező 32 bemeneti vektorpár közül legfeljebb nyolchoz tartozhat 
azonos kimeneti differencia. (Azaz a differenciális egyenletesség legyen 
nagy.) 

u Az előzőhöz hasonló kritérium, de egyszerre három S-dobozra. 

A DES P-doboz tervezési kritériumai a következők voltak: 
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un A P-doboz legyen olyan, hogy minden S-doboz négy kimeneti bitje kö- 
zül kettőt a következő réteg S-dobozainak középső bitjeihez, kettőt pedig 
szélső (táblázat választó) bitekhez továbbítson. 

nm Minden S-doboz négy kimeneti bitje a következő rétegben hat különböző 
§-dobozra legyen hatással. 


m Ha egy S-doboz valamely kimeneti bitje egy másik S-doboz valamely kö- 
zépső bitjéhez van vezetve, akkor ez utóbbi S-doboz egyetlen kimenete 
sem lehet az előző S-doboz középső bemeneteihez vezetve. 


2.4. Algebrai zártság és többszörös rejtjelezés 


Tekintsük azon egyműveletes 7 — (E,-) algebrai struktúrát a rejtjelező 
transzformációk E halmazán, ahol a ,,." művelet két transzformáció egymás 
utáni alkalmazása. Nevezzük ezt a műveletet szorzásnak. 


2.12. Definíció. 7 zárt, ha E - E — E, azaz tetszőleges két, E halmazbeli 
transzformáció szorzata E-beli transzformáció. Formálisan: bármely Ki és 
Ka esetén létezik Kz, hogy 


Ek" Ex, - Ex. 


Nem nehéz belátni, hogy 7 csoporttulajdonságokkal rendelkezik: 
2.13. Tétel. A 7 zárt algebrai struktúra csoport. 


Bizonyítás: Azt kell belátni, hogy 7 tartalmazza az identitást, s minden ele- 
mének létezik az inverze. Az egyszerűbb jelölés kedvéért E; álljon Ex, he- 
lyett. Tetszőleges E1, E2, Ez esetén, ahol Ez Ez fennáll, hogy 


E1-E2 4 Ez" E2. (2.49) 


Ha ugyanis (2.49) nem állna fenn, E? inverzével jobbról szorozva mindkét 
oldalt ellentmondásra jutnánk. Következésképpen 


(E1-E2:Ex€E)— E. (2.50) 


Ebből következik, hogy tetszőleges E2 transzformációhoz létezik olyan EZ 
transzformáció, amelyre E; - E, — E2, ahol mindkét oldalt jobbról E2 inver- 
zével szorozva, a jobb oldalon az ! identitás transzformációt kapjuk, azaz 
EZ-lI,sígyl EE. 
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Ha tetszőleges E2 € E transzformációt balról szorzunk a különböző E-beli 
elemekkel, (2.50) alapján a szorzat végigfutja az összes E-beli elemet, köz- 
tük az / identitást is. Azaz létezik E; € E transzformáció, amelyre ES-E,7I. 
E) az E; transzformáció inverze (E) — E; !). DO 


A zártság tehát esetünkben további algebrai strukturáltságot von maga 
után. Egy blokkrejtjelező algebrai zártságának ellentéte az az eset, amikor 
E a (0,1y" feletti permutációk halmazának egy véletlenszerűen választott 
részhalmaza. Ezen utóbbi esetben két E-beli transzformáció egymás utáni 
alkalmazása nagy valószínűséggel nem E-beli permutációt eredményez. 

A zártságból következő csoporttulajdonság kedvezőtlen, mert az ún. közé- 
pen találkozás algoritmikus támadásra ad lehetőséget. A támadás alapja a va- 
lószínűségszámításból már jól ismert születésnapi paradoxon (lásd 4.2. sza- 
kasz). 


2.4.1. Középen találkozás támadás zárt struktúrájú rejtjelező ellen 


A támadás célja az éppen alkalmazottal ekvivalens transzformáció konstru- 
álása. A támadáshoz szükséges, hogy a támadó rendelkezzen a pillanatnyi- 
lag használt kulccsal előállított nyílt — rejtett blokkpárok valahogyan meg- 
szerzett halmazával. Jelöljük ezt a halmazt 0-val, ahol tehát 0 — ((x1,y1), 
(x2,2) . .. (xs.y9) ) és ye — Ek(xr). Ex € E a nem ismert, pillanatnyilag al- 
kalmazott transzformáció, ahol K jelöli a nem ismert kulcsot. A támadás 
megértését segíti a 2.7. ábra. 

A 0 halmazból kiveszünk egy (x,y) párt, s a nyílt x blokkot r számú vé- 
letlenszerűen választott kulccsal kódoljuk: vi, — E;,(x), £— 1,2,...,r. Ha- 
sonlóan az y rejtett blokkot r számú véletlenszerűen választott kulccsal de- 
kódoljuk: wj, — Dj,(y), £ — 1,2,...,r. Megvizsgáljuk, hogy van-e a V — 
(Vir, Vin: .Vi, ) ÉS a W — (Wjy, Wo) - . . Wj, ) halmaznak közös eleme. Ha van, 
s például vi, — wj, egy ilyen közös elempár, akkor sejtésünk az, hogy 


Ex — Ej" Eja: (2.51) 

Ezt a sejtésünket ellenőrizzük további 0 halmazbeli párokon. Azaz megvizs- 
gáljuk, hogy fennáll-e az 

Ex) —Ej(Eibe)) (2.52 

egyenlőség £ — 2, ... ,5-re. Ha igen, akkor a 0 halmaz mérete szerinti biz- 

tonsággal igazoltuk sejtésünket. Ha valamelyik 0-beli nyílt-rejtett páron sej- 

tésünk megdől, akkor egy másik közös elempárt vizsgálunk, ha van további; 
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Dr 


2.7. ábra. A középen találkozás támadás szemléltetése 


ha azonban nincsen, akkor előről újrakezdjük az eljárást, újabb 2r kulcsot 
sorsolva. 

Kérdés, hogy mekkora legyen r értéke, illetve a 0 halmaz mérete. Az r 
értékkel kacsolatosan a választ a születésnapi paradoxon adja. A b és W 
halmazok legyenek transzformációk következő halmazai: 


Úsz (E. Ep.) 
9 — (Dj. Ex.Dja" Ex... Dj," Ek 


ahol a 6 C E állítás nyilvánvaló, továbbá, mivel a csoporttulajdonság miatt 
Ej € E, azaz Dj, E E, £— 1,2,... ,r is fennáll, ezért W C E is fennáll. Ha 
b és W részhalmazoknak van közös eleme, azaz ha például E;, — D ja" Ek, 
akkor minkét oldalt balról Ej,-gal szorozva Eg — Eja : Eix adódik, azaz a 
nem ismert Ex aktuális transzformációt két véletlenül sorsolt transzformáció 
szorzataként előállítottuk. 

A születésnapi paradoxon változata alapján annak valószínűsége, hogy b 
és W hamazok metszete nem üres, elegendően nagy egy sikeres támadáshoz, 
ha r értéke az E elemszáma négyzetgyökének nagyságrendjébe esik. Ez ek- 
vivalensen a kulcsok halmaza méretének négyzetgyökét jelenti. Például egy 
60 bites kulcsméret esetén 299 nagyságrendről van szó. 

A 0 nagyságrendjét illetően azt kell észrevennünk, hogy egy (2.52) sze- 
rinti sejtés-ellenőrzési lépésen egy téves sejtés 2-0] valószínűséggel 
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megy át, azaz kisszámú ellenőrző lépés nagy biztonságú ellenőrzést jelent. 
Az eljárás praktikusságának korlátját tehát az r értéke adja. 

Az algebrai zártság tehát veszedelmes tulajdonság lehet. Ugyanakkor ki- 
csi az esélye, hogy egy rejtjelező kódoló ilyen tulajdonsággal rendelkezzen. 
A fenti gondolatoknak praktikus haszna, ezért elsősorban nem közvetlenül a 
kódoló transzformációk esetén, hanem a többszörös rejtjelezés esetén van. 


2.4.2. . Többszörös rejtjelezés 


Több különböző kódolási eljárás kombinálásától azt reméljük, hogy egy erő- 
sebb kódolóra jutunk. Az egyik legközvetlenebb ezen irányba tett lépés a 
kétszeres kódolás: 


y 7 Ex(Ex.)) 
x— Dx.(Dx)), 


ahol E1, Ez € E. 

Jelölje az egylépéses kódolás kulcshosszát k. A kulcshossz a kétszeres 
kódolással formailag kétszeresére nőtt, hiszen két kulcsot használunk. For- 
mailag, mert ténylegesen csak akkor van így, ha a kétszeres kódolással a 
kétszeres kulcshossznak megfelelő számú különböző transzformációt állíta- 
nánk elő. Ha a kódolónk csoporttulajdonságú, akkor ez biztosan nincs így, 
hiszen ez esetben Ex, (Ex, (x)) — Ex, (x), valamely Ex, € E esetén. Ekkor te- 
hát egyáltalán nem változott a különböző transzformációk száma, azaz két- 
szeres kódolással csak ugyanazon transzformációkat tudjuk előállítani, mint 
egyszeres kódolással. 

A kétszeres kódolás általános hiányossága az, hogy a kimerítő kipróbálá- 
sos támadásnál lényegesen egyszerűbb kínálkozik, ugyanis a kétszeres kó- 
dolás lehetővé tesz középen találkozás támadást. 

Tudjuk, hogy két egylépéses kódoló transzformáció szorzata a nem is- 
mert transzformáció. Az x nyílt blokkot kódoljuk egylépéseses kódolással az 
összes különböző kulccsal, s hasonlóan az y rejtett blokkot (x párját) dekó- 
doljuk egylépéseses dekódolással az összes különböző kulccsal. A kódolás 
és dekódolás eredmények halmazának metszetét vizsgáljuk. Ha egy Ex,(x) 
kódolási lépés eredménye egybeesik egy Dx;(y) dekódolási lépés eredmé- 
nyével, akkor a keresett ismeretlen kétlépéses transzformációra a sejtésünk 
Ex; : Ex, amit további nyílt-rejtett blokkokon történő kipróbálással ellen- 
őrzünk. Nyilvánvaló, hogy ez esetben a metszetben benne van a keresett 
Páris. 
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Tehát, az egyszeres rejtjelezés elleni kimerítő kulcskeresés átlagos műve- 
letigénye IK]/2, a kétszeres rejtjelezés elleni kimerítő kulcskeresésé pedig 
— várakozásainkkal ellentétben — nem ezen műveletszám négyzete, hanem 
csak annak kétszerese. 


2.43. 3DES 


A DES-ről bebizonyították, hogy nem csoport. Ezért van értelme többszö- 
rös kódolással erősíteni, és ezzel rövid kulcsméretét megnövelni. Az előző 
fejezetben láttuk, hogy kétszeres DES rejtjelezéssel nem érünk el jelentős 
javulást. A következő lehetőség tehát a háromszoros kódolás. Az így nyert 
rejtjelezőt 3DES-nek nevezik, és a gyakorlatban igen elterjedten használják. 
A 3DES-t EDE és DED konfigurációban lehet használni, ahol az E betű a 
kódoló, a D betű pedig a dekódoló transzformációra utal. A 3DES-EDE váz- 
latát mutatja a 2.8. ábra. 


Ki Ka Kz 


2.8. ábra. A 3DES EDE konfigurációban 


A3DES EDE és DED konstrukcióinak fő motivációja, hogy K; — Ka — Kz 
esetben az egyszeres DES-t adják vissza, így a 3DES-t támogató eszközök 
kulcsegyeztetéssel olyan rendszerekkel is tudnak kommunikálni, amelyek 
csak az egyszeres DES-t támogatják. Ha K; — K3, ekkor két kulcsos 3DES- 
ről beszélünk, melynek effektív kulcshossza tehát 112 bit. Ha a Ki, Ka, és 
Kz kulcsok mind különbözőek, akkor három kulcsos 3DES-ről beszélünk, 
melynek effektív kulcshossza 168 bit. 


2.5. Az AES blokkrejtjelező 


A Rijndael szimmetrikus kulcsú blokkrejtjelező algoritmus a DES algorit- 
must lecserélő új rejtjelező szabvány az USA-ban (Advanced Encryption 
Standard — AES). Feladata — továbbra is — a bizalmas kereskedelmi infor- 
mációk rejtjelezéssel történő védelme. Számos versengő algoritmus közül 
a Rijndael lett a győztes, mivel több követelményt kiegyensúlyozottan va- 
lósít meg. Ezen követelmények legfontosabbika természetesen a biztonság, 
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de nagy súllyal számított a hatékony implementálhatóság (sebesség) külön- 
böző platformokon, valamint a blokkméretek (üzenet, kulcs) variálhatósága, 
azaz a flexibilitás. A biztonság kritérium tekintetében számos versenytársa 
lényegében azonos minőséget nyújtott; a Rijndael előnye az, hogy ezt a 
biztonságot hatékonyabban tudja megvalósítani. A biztonság vonatkozásá- 
ban fontos bírálati szempont volt az algoritmus részletekben is világos, átte- 
kinthető struktúrája, s bizonyíthatósága. Az AES tiszta algebrai struktúrája 
GF(25) aritmetikát alkalmaz, bájt a legkisebb kezelt egység. Az üzenet és 
kulcs bemenetpár és a rejtjeles üzenet kimenet között GF(25) feletti nemli- 
neáris egyenletrendszer írható fel. 

Az AES iteratív blokkrejtjelező, amelynek rétegfelépítése követi a shan- 
noni helyettesítéses-permutációs elveket, így az iterációs rétegekben (round) 
megtalálható a bájt elemekkel dolgozó nemlineáris S-boxokból álló és a per- 
mutációs alréteg is. Az alrétegek külön-külön invertálhatók. 

Az üzenet (rejtett üzenet) és a kulcs Ny, illetve Ny számú 32 bites (4 bájt) 
szóból áll. Ennek megfelelően az AES blokkméret választéka 128, 192, il- 
letve 256 bit. Az iterációs rétegek számára N, jelölést használva, N, — 10, ha 
N4 — Ny — 4; N, — 12, ha N; és N4 4 és 6 közötti (de nem 4 mindegyikük); 
egyéb esetekben N, — 14. (Összehasonlításul a DES paraméterei, az adott 
jelölésben: Nz — 2, N4 5 2 (56 bit), N, — 16.) 

Egy iterációs réteg (round) szerkezete az alábbi pseudo C kód szerinti: 


Round(State, RoundKey) ( 
ByteSub(State) ; 
ShiftRow(State) ; 
MixColumn (State) ; 
AddRoundKey (State) ; 

) 


A ByteSub bájt helyettesítő transzformáció alréteg nyújtja a nemlineari- 
tást (S-boxok alrétege). Az alréteg bemeneti 4 - N bájtjára bájtonként alkal- 
mazzuk az § : GF(28) — GF(2") helyettesítő transzformációt: 


5()—Be!a-b, 


ahol B egy 8x8 dimenziós invertálható bináris mátrix, b egy 8 bites vektor, 
x1 az x inverze (bináris koordinátákban). Így az S helyettesítő transzformá- 
ció (S-box) a nemlinearitását ezen utóbbi invertálásból nyeri. Az § transzfor- 
máció egyszerűen invertálható: 5-!(y) — (B71(y—b))"". 
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A ShiftRow transzformáció-alréteg a permutációt végzi. Bemenetét — 
gondolatban — rendezzük egy bájt-elemű mátrixba, amely mátrixnak 4 sora 
és N; oszlopa van, s ahol az egyes oszlopokba sorban az egyes szavak 4 bájtja 
kerül. Ezen mátrixot tekintve, az egyes sorokat ciklikusan forgatjuk, soron- 
ként különböző módon: az i-edik sorra (0 £ i £ 3) alkalmazott balról-jobbra 
forgatásra C; jelölést alkalmazva: 


0-0 
C1-1 
. (2haNp—4vagy Ny—6 
2 (3 egyébként 


Fée 3 ha N, — 4 vagy Ny — 6 
3 (4 egyébként. 


Ezen transzformációk inverze - nyilván - a forgatás irányának megváltoz- 
tatásával adódik. 

A MixColumn transzformáció-alréteg a permutációval együtt a diffúziós 
hatásért felelős. Bemenetét szintén 4 soros bájt-elemű D — (dij) mátrix- 
ként tekintve, a MixColumn transzformáció ezen mátrix oszlopait transzfor- 
málja, oszloponként. A j-edik oszlophoz (0 £ j £ Ny — 1) természetes mó- 
don rendelt Dj(x) — ds jx? - d? jx? 4-di,jxt- do,j polinomot és egy rögzített 
E(x) — e32 tt e2x2 tt e1x eg, (ez — 0x03, ez — 0x01, eg — 0x01, eg — 0x02) 
polinomot szorzunk össze mod (xt 1): 


Dj(9JEG) (mod 4-1), 


azaz elvégezzük a szokásos polinomszorzást, majd a szorzat 4, 5, 6 fokszámú 
tagjait redukáljuk, rendre 0, 1, 2 fokszámúvá. Ez a moduláris szorzás inver- 
tálható: x! -- 1 nem irreducibilis polinom GF(25) felett, de E(x) úgy lett 
választva, hogy létezzen az inverze, azaz iétezik E 71(x) polinom, amelyre 
E-(9E() —1 mod (xX 41). 

Az AddRoundKey transzformáció-alréteg végzi a rétegkulcs lineáris bevi- 
telét, a rétegkulcsot bitenként mod 2 hozzáadva a transzformáció bemeneti 
blokkja megfelelő bitjeihez. 

A kulcsütemezési algoritmus (KeyExpansion) bemenete az AES rejtjelező 
K— Ko,..., Kw,-1 kulcsa, kimenete a W — (Wo, . . . : Ww.(w,41)—1 ) kiterjesztett 
kulcs, ahol W;, K; 32 bites szavak. A kulcsütemezési algoritmus a SubByte 
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és a RotByte transzformációkat alkalmazza, ahol 


SubByte(a,b,c,d) — (S(a), S(b), S(c), S(d)) 
RotByte(a, b,c,d) — (b, c, d, a). 


A kulcsütemezési algoritmus két verziója közül az első az Ny £ 6, a máso- 
dik az N4 5 6 esetben kerül felhasználásra. Mindegyiknek két fázisa van: az 
inicializálási (Initialization), és az ezt követő kiterjesztési (Expansion) fázis. 
Az inicializálás mindkét esetben: W; — K;, i — O, . . . ,Np— 1. 

Az első verzió (Nz £ 6) kiterjesztési fázisa az alábbi: 


tmp — W.i 
if i ( mod N;), then tmp — SubByte(RotByte(tmp)) E Rcon17n, 
W; — W..N, Etmp, 


ahol Rcon; — (RC;,0,0,0), RC; — RC;-1 — xi! és x egy GF(29)-beli elem. 
A második verzió (N4 5 6) kiterjesztési fázisa az alábbi: 


tmp — W. 1 

if i (mod Nk), then tmp — SubByte(RotByte(tmp)) € Rcony/n, ) 
else if (i mod Ny, —— 4), then tmp — SubByte(tmp) 

Wi — Win, Etmp. 


A kódolandó üzenet és az első iterációs réteg között egy külön AddRo- 
undKey kulcsbeviteli művelet is szerepel. 

A Rijndael-rejtjelező szabványként való elfogadása óta, a kriptoanalízis 
szakértők egyik értékes célpontja, ugyanúgy, ahogy közel harminc évvel ez- 
előtt a DES rejtjelező volt. Az algoritmus ellenállt a differenciális és lineá- 
ris analízis kísérleteknek. Az eddig ismert legjobb támadás a Sguare attack, 
amely például 256 bites (N; — N4 — 8) rejtjelező esetén N, — 8 iterációs réte- 
get feltételezve 2204 kódolási lépéssel, 2128 — 2119 választott nyílt szöveggel 
lenne sikeres (sikernek számít az, ha az adott módszer műveletigénye a ki- 
merítő kulcskeresés műveletigénye alatt marad). Összehasonlításul, az adott 
blokkméret esetén, az AES N, — 14 iterációs réteget használ. 


2.6. Feladatok 


2.1. Feladat. Tekintsünk egy lineáris bináris blokkrejtjelezőt. Adja meg az 
ismert nyílt-rejtett párokon alapuló támadást a rejtjelező ellen! Van-e meg- 
kötés a párokra? 
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2.2. Feladat". Határozza meg a nemlinearitás mértékét az f : (0, 12 — 
10,1) Boole leképezés esetére: 00 — 1, 10— 0,01—61,116 1! 


2.3. Feladat. Tekintsen egy f : (0,1)2 — (0,1j? §-dobozt. Jelölje fi az 
első, illetve f; második output bitre vonatkozó transzformáció-komponenst 
(Boole függvényt). Ha fi nemlinearitása Ny, akkor mekkora f nemlineari- 
tása, 

1. ha f(9)— 1 el 

2. ha f2(x) — 1. 


2.4. Feladat". Igazolja, hogy ha f : (0,1y77!  (0,1) tetszőleges Boole- 
függvény, továbbá g(x,xn) — f(x) Ex, ahol x € (0,1)77! és xy E 10,1), 
akkor g nemlinearitása f nemlinearitásának kétszerese! 


2.5. Feladatt, Adja meg az alábbi 4 bitet 4 bitbe képező transzformáció 
diffúziós mátrixát: 


1. 7-3 Xi4a 
2. y1—xOXi41, 
ahol i — 0, 1,2,3, továbbá az indexben mod4 számolunk! 

((xi,yj) input-output bitpár közötti 0 C wij £ 1 diffúzió azon esetek ará- 
nyát méri a transzformáció összes különböző x inputját vizsgálva, amikor az 
xi input bit megváltozása esetén az yj output bit is megváltozik.) 


2.6. Feladat". Igazolja, hogy ha egy (x,y) input-output bitpár között a dif- 
fúzió 1 értékű, akkor az y; — f(x) függvénykapcsolat x;-ben lineáris! 


2.7. Feladat". Igazolja, hogy lineáris kódolás. maximális diffúziót szolgál- 
tat! 


2.8. Feladat". Tekintsük a következő 4 bites helyettesítő transzformációkat: 
f:(0,1" — (0,1)". Véletlen választás esetén mi a valószínűsége, hogy 
invertálható transzformációt kapunk? 


2.9. Feladat. Feistel-típusú blokkrejtjelezőt tekintünk, azaz az i-edik réteg 
szerkezete L; — R;. 1, R;— Li. 1-4 f(R;-1, ki), ahol [L;- 1, R;— 1] az input blokk, 
[L:, Ri] az output blokk, továbbá k; a réteg kulcsa. Tekintsünk egy 2 rétegű 
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rejtjelezőt, ahol legyen f(A,k) — A--k (mod 2), továbbá az egyes rétegek 
kulcsa függetlenül sorsolt. 

Támadható-e hatékony algoritmussal a rejtjelező, ismert nyílt szöveg ala- 
pú támadással, ahol a támadó a k1,ka kulcsokat szeretné meghatározni? Ha 
igen, adja meg az algoritmust! 


2.10. Feladat. Legyen ri az m bináris üzenetblokk bitenkénti komplemense. 
E,(m) jelölje m DES kódolását k kulcs mellett. Igazoljuk, ha c — Ex(m), ak- 
kor c — Ej(fri), azaz egyszerre komplementálva az üzenet, rejtett szöveg és 
kulcs blokkokat, köztük a rejtjelező kódolási leképezés kapcsolat változatla- 
nul fennáll. Ehhez kapcsolódó további kérdés az, hogy ezen komplementálás 
tulajdonság mennyiben jelent támadási könnyebbséget egy kimerítő kulcske- 
reséses támadás esetén, ha: 





1. ismert nyílt szövegű támadást, 
2. választott szövegű támadást tekintünk? 


2.11. Feladat. Tegyük fel, hogy DES rejtjelezést használtunk 64 bites üze- 
net blokkok rejtjelezésére, amelyek 8 bites karakterekből állnak, s a 8. bit 
paritás bit. 

1. Elvben végrehajtható-e kulcskereséses támadás csak rejtett szövegek 
megfigyelésére alapozva (azaz várhatóan sikerül-e kiválasztani a keresett 
kulcsot)? Hány rejtjeles blokkot kellene megfigyelni ehhez? 

2. Ha az üzenet blokknak csak az utolsó bitje paritásbit, 50 rejtjeles blokk 
megfigyelése elegendő-e a feladat sikeres végrehajtásához? 


(A DES kódolást és dekódolást véletlen függvényként modellezheti.) 


2.12. Feladat. Két DES transzformációt egymás után használunk: 

y 7 Ex (Ex (x)), ahol ki, kz két véletlen kulcs. 

1. Hogyan támadná meg a rejtjelezőt, ha ismert nyílt-rejtett szövegpárok áll- 
nak rendelkezésre? Becsülje meg a támadás komplexitását, számításigény 
és tárkapacitás vonatkozásában, ahol számításigényt a kódoló/dekódoló 
transzformációk számában, a tárkapacitást a tárolandó blokkok számában 
mérjük! 

2. Hasonlítsa az eredményt a naív kimerítő kereséses támadás erőforrásigé- 
nyéhez. 
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3. Az idő-memória erőforrás mérleget hogyan lehetne módosítani, ha keve- 
sebb memóriát kívánunk felhasználni több számításigény rovására? 

4. A középen találkozás támadás kétszeres DES kódolás elleni erőforrásigé- 
nyét szeretné valaki megnövelni olyan módon, hogy a következő három- 
szoros kódolást alkalmazza: y — Ex, (Ex, (Ex (x))) Sikerül-e a célját elérni? 
Elemezze a támadás erőforrásigényét! 


2.13. Feladat. Vizsgálja meg a kétkulcsos háromszoros DES kódolás (EDE) 
középen találkozásos támadás erőforrásigényét választott nyílt szövegű tá- 
madás mellett! 


3. 


Nyilvános (aszimmetrikus) kulcsú rejtjelezők 





A nyilvános kulcsú kriptográfia alapja, hogy a kódoló és a dekódoló transz- 
formáció, illetve az azokat paraméterező nyilvános és titkos kulcsok nem 
azonosak, sőt egyiket a másikból kiszámítani nagy komplexitású feladat, 
azaz praktikusan lehetetlen. Ezért a két kulcs közül az egyiket, általában a 
kódoló kulcsot, nyilvánosságra lehet hozni. Ez azért hasznos, mert ezáltal le- 
egyszerűsödni látszik a kulcscsere probléma, ugyanis a titkos kommunikáció 
megvalósításához nincsen szükség egy titkos (szimmetrikus) kapcsolatkulcs 
létrehozására a küldő és a vevő között; elegendő a rejteni kívánt üzenetet a 
vevő nyilvános kódoló kulcsával rejtjelezni. Megjegyezzük azonban, hogy 
gondoskodni kell a nyilvános kulcsok hitelességéről. Más szavakkal, a kül- 
dőnek meg kell tudnia győződni arról, hogy a használni kívánt nyilvános 
kulcs valóban a vevő nyilvános kulcsa, és nem egy harmadik, feltehetően 
rossz-szándékú félé. A nyilvános kulcsú kriptográfia tehát oly módon egy- 
szerűsíti a kulcscsere problémát, hogy titkos csatorna helyett hiteles csatorna 
létezését követeli meg a vevő és a küldő között, melyen a vevő eljuttathatja 
nyilvános kulcsát a küldőnek. 

Az alábbiakban ismertetjük az egyik leggyakrabban használt nyilvános 
kulcsú rejtjelező módszert, az RSA algoritmust, és áttekintjük annak ismert 
gyengeségeit. Mint látni fogjuk, az RSA kulcsok generálásához nagy prím- 
számokra lesz szükségünk. Ezért röviden összefoglaljuk a prímtesztelés 
módszereit is. 

Az utolsó szakaszban a nyilvános kulcsú kriptográfia egy viszonylag új 
ágával, az elliptikus görbék algebrájára épülő kriptográfiával foglalkozunk. 
Az elliptikus görbe kriptográfia gyakorlati jelentősége, hogy a kulcsok ál- 
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talában tömörebb módon reprezentálhatóak, mint a hagyományos nyilvános 
kulcsú algoritmusok (pl. az RSA) esetében, és íly módon az elliptikus gör- 
békre épülő algoritmusok kis tároló kapacitással rendelkező eszközökön (pl. 
smart kártyákon) is implementálhatóak. 


3.1. Az RSA algoritmus 


Az RSA algoritmus három algoritmusból, a kulcsválasztás, a kódolás és a 
dekódolás algoritmusából áll. A kulcsválasztást a rendszer minden felhasz- 
nálója elvégzi: 

1. Véletlenszerűen választunk két nagy, p és g prímszámot (p 5 a). Jelenleg 
vhagynak" a legalább 500 bit bináris méretű számokat tekintik. 

2. Kiszámítjuk az N — pg modulust és a p(N) — (p— 1)(g— 1) szorzatot. 
Választunk továbbá egy e számot, amelyik mind (p — 1)-hez, mind (g — 
1)-hez, tehát p(N)-hez relatív prím. 

3. Kiszámítjuk az e inverzét modulo p(N), azaz keresünk egy d számot, 
amelyre 1 £ d £ g(N) és ed — 1(mod 9(N)). 

A kulcsválasztás a 3. lépéssel be is fejeződik. A rendszerszerű üzemeltetés 
során azonban egy központi, minden felhasználó által hozzáférhető nyilván- 
tartásra van szükség. Ennek érdekében a kulcs nyilvános részét, esetünkben 
az (N,e) számpárt nyilvánosságra hozzuk, a kulcs titkos részét, a (d, p,g) 
számhármast s ezzel együtt a p(N) számot titokban tartjuk. 

Ha A felhasználó B felhasználónak akar üzenni, akkor A felhasználó ki- 
keresi a B nyilvános kulcsát, az e — eg és N — Ng számokat. A felhasználó 
előkódolja az üzenetet. A nyílt szöveg valamilyen karakterkészlet elemeiből 
áll. A rejtjelezéshez ezt a karaktersorozatot olyan nemnegatív egészek soro- 
Zatává kell átalakítani, amelyek mindegyike kisebb, mint Ng. Ez egy kölcsö- 
nösen egyértelmű transzformáció, amelyet minden felhasználó ismer. A rejt- 
jelezést az előkódolt üzenet egymás utáni számain A felhasználó egyenként 
hajtja végre. Ha az előkódolt szöveg következő száma x, akkor a megfelelő 
rejtjeles szám: 

y-Ep(x)—x? (mod Ne). 

A B felhasználó megkap egy rejtjeles üzenetet. Ez az üzenet szükségsze- 
rűen a 0 és Ng — 1 közti egész számok egy y1,y2, . .. sorozata. A dekódolást 
a számsorozat elemein külön-külön hajtja végre. Legyen a rejtjeles szöveg a 
következő szám: y. Ekkor az , előkódolt" üzenet megfelelő száma 


x- Dg(yy—y"? (mod Ne). 
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A visszaállított, , előkódolt" xi, x2, ... sorozatból az előkódolás inverzét al- 
kalmazva adódik a valódi nyílt szöveg. 
Lássuk be az RSA dekódolási algoritmus helyességét. 


3.1. Tétel. Bármely x egész számra fennáll, hogy 
(7) —x (mod N). 


Bizonyítás: Mivel d az e mod p(N) inverze, ezért valamely v egész számra 
ed — vp(N) -- 1, s így a tétel bizonyításához az 


x—-X9Wi (mod N) 8.1) 


modulo egyenlőséget kell belátni. Először tetszőleges u prímre igazoljuk, 
hogy tetszőleges x és s egész esetén 


x— (4 (mod u) 82 
fennáll: ha u prím nem osztója x -nek, akkor a Fermat-tétel szerint 
(7) — 1-1 (mod w), 
tehát (3.2) fennáll, ha pedig u osztója x-nek, akkor nyilván 
x—0—-lwDt (mod w). 


Visszatérve az általános esetre, mivel p— 1] p(W) és v— 1]p(M), ezért (3.2) 
felhasználásával 


x-x9Wt (mod p) 
x-x9WtH (mod ag) 


fennállnak. Innen 


pl XOWA 
és 
ag J9(w)-r1 sségi 
teljesülnek, amelyből N]x"9(W)-1 . is következik. a 


A kulcsválasztásnak elfogadható időn belül kivitelezhetőnek kell lennie. 
Ezért meg kell vizsgálni, hogy milyen nagy sebességgel tudunk , nagy" prím- 
számokat generálni. Prímelőállítással a fejezet további részében még foglal- 
kozunk. Továbbá könnyű eldönteni, hogy p(N) és az e kitevőjelölt relatív 


82  I.Kriptográfiai primitívek 


prímek-e, amely vizsgálatához az euklideszi algoritmus használható. Az e 
szám inverzét is gyorsan meg tudjuk határozni. Erre a célra szintén az eukli- 
deszi algoritmus használható. Az algoritmus legfeljebb kétszer annyi lépést 
igényel, mint a modulus logaritmusa. 

A kódolásnak és a dekódoló kulcs ismeretében a dekódolásnak is gyors- 
nak kell lennie. Ez azt jelenti, hogy a modulo aritmetikában gyorsan kell 
tudni hatványozni. Az ismételt négyzetreemelés és szorzás módszerét alkal- 
mazva az e-edik hatvány kiszámítása legfeljebb 210g.(e) (illetve 210g2(d)) 
számú modulo N szorzással megoldható. 

Az alábbiakban egy számpéldával szemléltetjük a moduláris aritmetika 

alkalmazását az RSA algoritmus esetén. 
3.1. Példa. Legyen p — 73, g — 151, így N — 73-151 — 11023, p(N) — 
(73— 1)(151— 1) — 10800. Az e paramétert e — 11-re választhatjuk, mivel 
(10800, 11) — 1, hiszen 10800 — 2.3. 52.9. Az e inverzét modp(N) az 
e:5-49(N) -t — 1 előállításból kaphatjuk (d — s ( mod p(N)), amelyhez az 
euklidészi algoritmussal juthatunk: 


10800 —11-981-4-9 
11-9-1-H2 
9—-2.-4-1 
2-1.240, 
ahonnan 
9—-10800—981-11 
2-11—9-11—(10800—981-11) — —10800-4-982- 11 
1-9—2-4—10800—981-11—4(—10800 -4-982- 11) — 
— 5-10800 — 4909 - 11, 
így 
—4909-11—1 (mod 10800), 
ezért 
d — 10800 — 4909 — 5891 (mod 10800). 


Nyilvánosságra hozzuk az e — 11, N — 11023 egészeket, s titokban tartjuk a 
Pp7-73,97- 151, d — 5891 egészeket. 
Tegyük fel, hogy az x — 17 nyílt üzenetet kívánjuk kódolni, ekkor 


y—-17! (mod 11023), 
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ahonnan y — 1782. A dekódolás az 
x— 178259! (mod 11023) (3.3) 


művelettel történik. Ezen modulo hatvány kiszámítását egyszerűsíti a , négy- 
zetreemelés és szorzás" módszere. A kitevőt az 


5891 — 29 4-2! 428 4.29 4219 4.212 


összegre bonthatjuk a bináris ábrázolása alapján. Ennek alapján a (3.3) hat- 
ványt az alábbi alakba célszerű átírni: 


17822" . 17822" . 17822 . 17822 . 17822 . 1782 
— ((...(1782)2)2 1782)? . 1782)? - 1782)2)2)299292999? - 1782)? - 1782. 


A kiértékelést a legbelső moduláris négyzetreemeléssel kezdjük, azaz az első 
néhány lépés: 


17822—900 (mod 11023) 
9002 — 5321 (mod 11023) 
5321-1782 — 22422—76 (mod 11023), 


amely lépéseket követve, végül a 17-et kapjuk vissza. Így tehát ahelyett, 
hogy (3.1) mechanikus kiszámítását, azaz a 


((...(17891789)1789)1789) . . .) 1789 


szorzáshoz szükséges 5890 darab modulo szorzást végeztük volna el, meg- 
úsztuk 17 darab modulo szorzással. Könnyen ellenőrizhető, hogy ezzel a 
módszerrel legfeljebb a kitevő kettes alapú logaritmusa kétszerese számú 
modulo szorzásra van szükség. 4 


3.2. Az RSA biztonsága 


Ha létezne hatékony algoritmus az egész számok faktorizációjára, akkor en- 
nek birtokában az RSA rejtjelezés hatékonyan fejthető lenne: az N modulus 
P és a faktorja felhasználásával kiszámolnánk a dekódoló kulcsot. Nem tud- 
juk azonban biztosan, hogy az RSA törés feladata valóban redukálható a 
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"  faktorizációs feladatra. Ha nem lenne redukálható, az azt jelentené, hogy az 
RSA hatékonyan törhető lehetne akkor is, ha valóban nehéz feladat az egész 
számok faktorizációja. Megjegyezzük, hogy az e — 2 kitevő esete (azaz a 
négyzetreemelés mod N) speciális, mivel ebben az esetben bebizonyítható, 
hogy akkor és csak akkor létezik hatékony inverziós algoritmus (azaz mod N 
négyzetgyökvonó algoritmus), ha létezik hatékony algoritmus az egész szám 
faktorizáció feladatra. Vegyük észre, hogy az e — 2 kitevő esete nem RSA 
kódolás. A kérdéskörre és az említett bizonyításra, továbbá az RSA leké- 
pezésre, mint csapda egyirányú függvényre a bizonyított biztonság részben 
részletesen visszatérünk. 

Az RSA implementációja és protokollokbeli felhasználása során sok rész- 
leten múlhat a biztonság. Számos hatékony támadás ismert az üzenethalmaz, 
a prímpár, a kódoló és dekódoló kulcs speciális választása, valamint nem biz- 
tonságos protokollok kapcsán. Mindezt az alábbiakban három problémával 
illusztráljuk. 


3.2.1.  Fermat-faktorizáció: p és g közeli prímek 


Nem elégséges, hogy két, különböző nagy prímszámot választottunk vélet- 
lenszerűen, ugyanis sikeres támadásra van lehetőségünk, ha a p és g prímek 
távolsága , nem eléggé nagy". Fermattól származó egyszerű faktorizációs le- 
hetőség adódik az N modulusra. Tekintsünk egy n pozitív összetett egész 
számot, ahol n — a-b, a 5 b. Legyen t — (a-b) /2 és s — (a— b)/2, azaz 
a—tts,b-t— s. Innen n — 1? — 57 — (1-4 5)(1— 5) adódik. Ha a— b kü- 
lönbség , kicsi", akkor s is , kicsi", azaz t Az n1/2. Találgassuk t értékét. a 
következőképpen: számítsuk ki az 


nz-ln2j41, m — [n/2142,... 


értékeket, s ellenőrizzük hogy 1? — n különbség négyzetszámot ad-e. Ha igen, 
akkor a különbség egyenlő 5? -tel. A megkapott t és s alapján már könnyen 
kiszámítható a és b. 

Például faktorizáljuk n — 200819-et. n lefelé kerekített négyzetgyöke 448. 
ti — 449, 4492 — 200819 — 782 nem négyzetszám, t; — 450, 4502— 200819 — 
1681 — 412 azonban már négyzetszám, ahonnan 200819 — 450? — 41? — 
(450-4-41)(450— 41) — 491-409. 
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3.2.2. Kicsi kódoló kulcsok problémája 


Tegyük fel, hogy egy központ r távoli ügynöknek azonos titkos üzenetet küld 
RSA rejtjelezéssel, ahol az ügynökök nyilvános RSA kulcsát azonosra vá- 
lasztották, azon az alapon, hogy az RSA rejtjelezés biztonsága nem múlik 
ezen kulcs választásán. A csatornákat lehallgató támadó az alábbi rejtjeles 
üzeneteket szerzi meg: 


y1-36 (mod mi) 6.4) 
y2-— 3 (mod m?) 


yr— xx (mod m), 


ahol r 2 e. Feltehetjük, hogy az mi,m2, . . . mp modulusok páronként re- 
latív prímek, ugyanis ügynökönként véletlenszerűen választottuk a prím- 
párt, így ezen feltevés teljesülése gyakorlatilag biztos. A támadó a kínai 
maradékok tételét alkalmazhatja a (3.4) kongruencia-rendszer megoldására. 
Ezzel ugyanis hatékonyan és egyértelműen kiszámíthatja z — x" mod (mi - 
m2...m,) maradékot, s vegyük észre, hogy x miním;) miatt 0cX c 
mi: m2...m,, így z maradék e-edik gyökét kiszámítva magát a keresett x 
nyílt szöveget megkapja. 


3.2.3. . Közös modulus problémája 


Tudjuk, hogy az RSA kódolás igen számításigényes, ezért arra a gondo- 
latra juthatunk, hogy célhardverben legyártatjuk egy választott N modulus 
(egy adott p, g prímpár) esetére a modN hatványozó aritmetikát. Mivel 
azonban többfelhasználós a rendszer, a központ úgy különbözteti meg az 
egyes felhasználókat, hogy az adott N modulus mellett különböző nyilvá- 
nos kulcsokat választ számukra, amelyekből különböző dekódoló kulcsok 
adódnak. A központ ezek után egy x titkos üzenetet küld A és B felhasz- 
nálónak. A támadó lehallgatja a csatornákat. Ezzel a támadó megismeri az 
ya — XA (mod N) és yp — x- ( mod N) rejtett szövegeket. Tegyük fel, hogy 
(ea, ep) — 1. Így létezik t és s egész, hogy t-exts-eg — 1, ahol t-s c 0, 
mivel ea 5 0, eg 5 0. Az általánosság korlátozása nélkül tegyük fel, hogy 
t a 0, azaz t — —1 : It]. Továbbá feltehető, hogy (ya, N) — 1, ezért létezik 
az yz! (mod N) inverz. Innen 079" - gy — (A)! - (vény — xtentses — 
x ( mod N) alapján a támadó, kizárólag nyilvános információk és a lehallga- 
tott rejtett szövegpár felhasználásával, dekódolni képes a titkos üzenetet. 
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3.3. Prímszámok keresése 


A kiinduló probléma az, hogy eldöntsük egy adott nagy egész számra, hogy 
prím-e (PRÍM döntési probléma). Hatékony megoldó algoritmus utáni ku- 
tatás az ókortól fogva izgalomban tartja a számelmélészeket. A legfrisebb 
eredmény szerint a probléma eldönthető az input méretében polinomiális 
futási idejű, determinisztikus algoritmussal is. Az ezt megelőző 25 év so- 
rán is sikerült polinomiális idejű algoritmusokat találni, ezek azonban vélet- 
len biteket is igényelnek számításaikhoz. (A bizonyított biztonság részben 
adunk egy rövid bevezetést az algoritmusok komplexitáselméletébe, az ot- 
tani felhasználás mértékéig. A nevezett legfrisebb eredmény azt jelenti, hogy 
PRIM € P, míg megelőzően azt tudtuk, hogy PRIM € co — RP). A legfonto- 
sabb, gyakorlatban alkalmazott algoritmus továbbra is az egyik randomizált 
polinomiális idejű algoritmus, a Miller-Rabin prímtesztelő algoritmus. 

A legegyszerűbb prímteszt során megvizsgáljuk, hogy a tesztelt szám 
négyzetgyökénél kisebb számok között van-e valódi osztó. Az algoritmus 
egyszerű, determinisztikus, de nem hatékony, mivel a számításigény beme- 
net méretében exponenciális. 

Az RSA kapcsán szeretnénk egy hatékony (azaz polinomiális idejű) algo- 
ritmust annak eldöntésére, hogy véletlenül kisorsolt egész szám prím-e vagy 
sem. Megnyugtató, hogy a prímek elég sűrűn találhatók az egész számok 
között, s így, ha véletlenszerűen választunk a páratlan egész számok közül, 
az alkalmazások szempontjából elegendően nagy valószínűséggel prímszá- 
mot választunk. Ezek után már csak az a kérdés, hogy hogyan vesszük észre, 
hogy prímet sorsoltunk ki. Ezen utóbbi feladatra szolgálnak a prímtesztelő 
algoritmusok. A prímek sűrűségével kapcsolatban bizonyítás nélkül utalunk 
a számelmélet ismert tételére, amely kimondja, hogy fI(n), azaz az n pozitív 
egésznél kisebb prímek számának nagyságrendje: 


n 
s —. fa) 

[I e) Inn 63) 
Számpéldaként tekintsünk egy N — pg — 1099 nagyságrendű modulust, azaz 
10199 (— 2330) nagyságrendű prímeket választunk. Annak a valószínűsége, 
hogy egy véletlenszerűen választott 2531 s c 2352 (azaz 332 bites) szám 
prím, (3.5) alapján becsülhető: 


TI(2322) — TI (2831) , 2891 Úsz a 1 
2332 — 2331 GLÉTEET láz 
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Továbbá, mivel az adott számtartomány fele páros szám, amelyek nem prí- 
mek, elég csak a páratlanok közül válogatnunk, s ezzel 1/115-re duplázzuk 
meg a találati valószínűséget. Így tehát átlagosan 115 próbálkozásonként ju- 
tunk prímszámhoz a 1099 nagyságrendű számok között. 

Véletlenül sorsolt számok közül a prímek valószínűségi alapon történő 
kiszűrésére több prímtesztelő algoritmus is létezik. Az alapelveket a Fermat 
prímtesztelő algoritmus kapcsán mutatjuk be. 


3.3.1. A Fermat-prímteszt 
3.2. Definíció. Egy n összetett szám (Fermat-)álprím egy b bázisra nézve, ha 
bp7!-1 (mod n), (6.6) 


ahol b € W,, W, — (z : 1 Cz Cnés (z,n) — 1). 


A 3.2. definíció a , kis" Fermat-tételen alapul, amely szerint, ha n prímszám, 
akkor (3.6) teljesül. Ha n összetett szám, de mégis teljesíti a (3.6) egyenletet, 
akkor álprím. 

A prímteszt tehát a következő: ha egy véletlen sorsolt n egész szám egy 
b bázissal nem teljesíti a (3.6) egyenletet, akkor biztosan nem prím, míg 
ha teljesíti, akkor prímgyanús, és továbbvizsgálandó egy következő bázissal. 
Ha a tesztelt szám M egymás utáni vizsgálat során prímgyanúsnak bizonyult, 
akkor nagy valószínűséggel prímszám. 

Kérdés: van-e olyan összetett szám, amely tetszőleges szóbajövő bázisra 
, Átmegy" a Fermat-próbán? Sajnos van, s ezen számokat Carmichael-szá- 
moknak nevezzük. Bizonyságul a legkisebb ilyen szám az 561. 

Felmerül továbbá a kérdés, hogy mekkora a valószínűsége annak az ese- 
ménynek, hogy egy n összetett szám, amely nem Carmichael-szám, egy vé- 
letlenszerűen választott b, b e W,, bázissal kielégíti a (3.6) egyenletet. 

3.3. Tétel. Ha egy n összetett szám nem Carmichael-szám, akkor legfeljebb 
n/2 különböző b, b e W,, bázissal elégíti ki a (3.6) egyenletet. 

A 3.2. definíció alapján közvetlenül ellenőrizhető, ha n álprím b bázisra, ak- 
kor álprím b-! ( mod n) bázisra is. Továbbá, ha n álprím bi és ba bázisokra, 
akkor álprím ezek modulo n szorzatára azaz bi - ba( mod n) bázisra is. 

Legyen B — (b1,b2, ...,bs) azon bázisok halmaza, amelyekre n álprím. 
B halmaz nem üres, mivel n nem Carmichael-szám. Legyen b € W, Y B. 
Könnyen látható, hogy 


4B— (Vb, bb2...,bbs) (mod n) 
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halmaz elemeire, mint bázisokra n nem álprím. Ha ugyanis bb;(modn) 
bázisra álprím lenne, akkor (b/b;)b7! (modn) — 4" bázisra is annak kel- 
lene lennie, ami ellentmondás. Következésképpen azon bázisok száma, ame- 
lyekre n nem álprím, legalább n/2. Ím; 

3.3. tétel következménye: Ha egy n összetett szám nem Carmichael-szám, 
továbbá b, b € W, egy véletlenszerűen választott bázis, akkor annak valószí- 
nűsége, hogy n , átmegy" a Fermat-próbán M alkalommal, kisebb, mint 2-M. 


3.3.2.  Miller-Rabin-prímteszt 
A teszt leírásához néhány jelölést vezetünk be. Adott n 5 1 páratlan egész 
számhoz legyenek u — u(n) és v — v(n) azon egészek, melyekre u páratlan és 
n-17-2u. 
Legyen R,, azon b € W, számok halmaza, amelyekre vagy 
b"—1 (mod n), 6.7) 

vagy létezik olyan 0 £ j c v, melyre 

bv 1 (mod n). 6.8) 
Mivel tetszőleges x egészre 


(4711) — (xlr-D2 pp) (xr-D2 gp) 
— (x(r- 072 gp. 1) [(xlr—DV4 pp) (xír Va 1) 


7 (x(r-0/2 pp) (xír DA 4 1)... 41) ír 


azonosság fennáll, ezért ha n prím, akkor n](p77! — 1) fennáll, tetszőleges 
b, b E W,, bázisra, ezért vagy (3.7) vagy (3.8) fennáll, azaz ekkor R,, — W,,. 
Következésképpen n biztosan összetett, ha valamely b bázisra b £ Rn. 

Ennek alapján a Miller-Rabin-teszt a következő: Véletlenszerűen válasz- 
tunk egy b bázist. A próba eredménye: n prímgyanús, ha b € R,, illetve n 
összetett, ha b £ R,. Bizonyított, hogy annak a valószínűsége, hogy véletlen- 
szerűen választott bázis mellett egy összetett szám átmegy a Miller-Rabin- 
teszten, legfeljebb 1/4. Ha az M darab bázist egymástól függetlenül választ- 
juk meg, akkor a téves prímgenerálás valószínűsége 2724. 
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Természetesen merül fel a kérdés: Miért kell véletlenszerűen megválo- 
gatni a bázisokat? Nem létezik-e univerzálisan jó determinisztikus alapszám- 
halmaz. A kérdés megválaszolása még várat magára, bár jelentek meg érde- 
kes eredmények. Így például, ha a négy számból álló (2,5,7,13) bázishal- 
mazt használjuk, akkor a Miller-Rabin-próbán egyetlen összetett szám sem 
megy át n c 25109 intervallumban, míg a (2,3,5,7) bázishalmaz ebben az 
intervallumban bázisonként legfeljebb egyet enged meg. 


3.4. Elliptikus görbe kriptográfia 


Az elliptikus (és hiperelliptikus) görbék algebrai elméletének nyilvános kul- 
csú kriptográfiai alkalmazása viszonylag rövid múltra tekint vissza. Ugyan- 
akkor, a rendkívül aktív kutatómunka gyors fejlődést eredményezett. A fő 
ok az, hogy ezen görbék rendkívül sok véges Abel-csoport konstruálására 
alkalmasak, amelyekre biztonságos kriptográfiai primitívek építhetők. Ezen 
csoportok analógok a véges test multiplikatív csoportjával. Ugyanakkor sok 
változatban előfordulnak, továbbá belőlük jóval kisebb kulcsméretek mellett 
azonos biztonságú nyilvános kulcsú algoritmusok konstruálhatók. A jelen 
fejezet csak bevezetőt kíván adni a témakörbe. 


3.4. Definíció (elliptikus görbe). Egy F test feletti E elliptikus görbét az 
Y? 4.aiXY hagy — X? 4. a2X? aaX ag, aj F 6.9) 


egyenlet definiálja. 

Az E(F) görbét azon (x,y) e F? pontok alkotják, amelyek kielégítik a 
(3.9) egyenletet, továbbá a görbéhez tartozik egy absztrakt pont, a ,,végte- 
lenben" fekvő O pont. Ezenkívül még egy úgynevezett simasági feltételnek 
is eleget kell tennie a (3.9) definíció szerinti görbének. 

Jelölje F az F algebrai lezárását (F az F azon legszűkebb bővített teste, 
amely felett tetszőleges F-feletti polinom lineáris faktorokra bontható). A 
simasági feltétel szerint nem lehet az E(F) görbének olyan (x,y) e E(F) 
pontja, amely (3.9) mindkét parciális deriváltját kielégíti, azaz amely kielé- 
gíti az 


ay —3X24.2a2X ay (3.10) 
2Y t-a1X taz3 —0 


egyenleteket. Az F test karakterisztikája szerint is csoportosítják a görbé- 
ket: 2, 3 karakterisztikájú, illetve a nem 2, 3 karakterisztikájú testek feletti 
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görbékre. Az utóbbi esetben X — X — 4a2 változócserével (3.9) alábbi egy- 
szerűbb alakjára juthatunk: 


Y2-X334aXtb 641) 


ahol a,b e F,char(F) / 2, 3. Ez esetben a simasági feltétel pontosan akkor 
teljesül, ha a (3.11) jobboldali polinomjának csak egyszeres gyökei vannak, 
ami viszont teljesül, ha a —(4a? --. 275?) determináns nem zérus. 

Az elliptikus görbe pontjai megfelelően definiált művelettel Abel-csopor- 
tot képeznek. A valós test feletti esetre mutatjuk be a műveletképzést, analóg 
módon definiálhatók a műveleti szabályok véges testek esetére is. Tekintsünk 
valós számtest feletti E elliptikus görbét. Legyen P és 0 két pont az E görbén 
(3.1. ábra). 


3.I. ábra. . Elliptikus görbe pontjainak összeadása 


1. Ha P — O, akkor —P — O. Tetszőleges 0 pont esetén 0 t- 0 — 0. Azaz 0 
a csoport zérus eleme. Az alábbiakban tegyük fel, hogy PÁ 0, 97 0. 

2. Ha P — (x,y), akkor —P — (x, —y): a (3.11) formula alapján látható, hogy 
ha P a görbe pontja, akkor —P is rajta van a görbén. 

3. Ha 0 — —P (azaz egymás x tengelyre vett tükörképei), akkor definíció- 
szerűen —PtH0- 0. 

4. Ha P és 0 pontok x koordinátája különböző, akkor a két ponton áthaladó 
1— PO egyenes egy, ezen két ponttól különböző R pontban metszi az E 
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görbét, kivéve, ha az egyenes P pontban érinti a görbét, mert ez esetben R 

definíciója R — P. Ezek után P és 0 összegének definíciója Pt-0 — —R, 

azaz R pont x tengelyre vett tükörképe (3.1. ábra). Ha P — O, akkor az I 

egyenes a görbét a P pontban érinti. Legyen R az a pont, ahol az / egyenes 

metszi a görbét, amivel Pt-P—-2P—-—R. 

Mindebből az is következik, hogy azon három pont összege, amelyben 
egy egyenes metszi a görbét, zérus: ha az egyenes nem megy át az O ponton, 
akkor (P--0) -R— —R--R — O, ha pedig átmegy az O ponton, akkor 
(P3-0) 0—(P1-(-P) 40-040-0. 

Az alábbiakban az (x,y) koordinátás alakban megadott pontokra mutat- 
juk meg a fentiekben definiált összeadás művelet eredményeként kapható 
pont koordinátáinak számítását. Legyen P — (x1,y1), 2 — (x2,y2), PO — 
(x3,y3). Legyen az !/ egyenes egyenlete y — ar: x-t- B, ahol or — (y2 —y1)/ 
(x2— xi), és B —y1— 0r-x1. Egy (x, 0-x-t B) € ! pont pontosan akkor fek- 
szik a görbén, ha kielégíti a (3.11) egyenletet, azaz ha 


(a-x Bé -a-xtb. 8.12 


Ezen utóbbi egyenletet kielégítő gyökök között van xy és xz, mivel P — 
(va, ax B), 0 — (x2, a: xz 4 B). A harmadfokú (3.12) egyenlet átren- 
dezésével látható, hogy másodfokú tagjának együtthatója cr2. Ugyanakkor 
azt is tudjuk, hogy egy n-edfokú főpolinom gyökeinek összege az (n— 1) 
-edfokú tagja együtthatójának (—1) -szerese. Így a harmadik gyök első ko- 
ordinátájára xz — a? — xy — xa adódik. Mivel P-- 0 — (xz, —(a-x3 1 B)), 
ezért 





2 
xz— 3) —Xx—X2, (6.13) 
X2—Xxi 
SET jazat fa 
JE gt E) (11 —33)- 


A P — 0 esetben a számítás hasonló. Ez esetben cz a dy/dx derivált a P pont- 
ban. Implicit függvény deriválási szabályát alkalmazva or — (3xf -H a)/2y1- 
Ezzel 2P — (x3,y3) pont koordinátáira a következő formulákat kapjuk: 


p 3 
57 ő) dj; 8.19 





21 
3x1-ka 
n--t( 55 ) 1). 
yi 
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A (.9-3.12) szabályok közvetlen következményeként megmutatható a kom- 
mutatív csoport axiómáinak mindegyikének teljesülése, kivéve az asszocia- 
tivítást, amelynek igazolásához további algebrai eredmények ismerete szük- 
séges. 
3.2. Példa. Tekintsük azY?—2Yy — x3—X? valós együtthatós görbét és rajta 
a P — (0,0) pontot. Határozzuk meg a 2P pont koordinátáit! 

YGY—-I,X 6 X--1/3 változócserével a görbét a (3.11) alakra hoz- 
hatjuk: Y2 — X3-4.5X 4 2, amely görbén P képe 0 — (1,—1/3). A (3.14) 
formulák alkalmazásával 20 — (23,—550-t- 1/3). 4 


További példaként tekintsük a GF(p), p prím, véges test feletti (3.11) 

alakú elliptikus görbéket. A (3.13) és (3.14) formulák — mod p műveletekkel 
— érvényben maradnak. 
3.3. Példa. Tekintsük az Y? — X34.3X -£1 elliptikus görbét GF(11) felett. 
Azon P — (x,y) pontok vannak a görbén, amelyekre x? t-3x 4 1 (mod 11) 
kvadratikus maradék. Végigvizsgálva a szóbajövő x — 0, I, . . . , 10 értékeket 
a 3.1. táblázat foglalja össze a görbe pontjainak koordinátáit. 

A görbének tehát 18 pontja van. A Hasse-tétel szerint a görbe pontjainak 
HE darabszámára 


P41-2/PS$HESpt1t2yp 


korlátok érvényesek, ami a példabeli p— 11 esetén a 6 £ E £ 18 korlátokat 
jelenti. Tekintsük a görbe P — (1,4) pontját, ahonnan 2P — (x,y) — (1,4) 4 


- 


-r3xHI(mod11) y 
1,10 
4,7 
29 
29 
0 
8,3 
2.9 
8,3 
83 


—OOJAVAWVEO 
HOCOVAOORANM E 


3.I. táblázat. AzY? —X34.3X.4-1, GF(I1) elliptikus görbe pontjai 
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(1,4) a (3.14) formula alkalmazásával: 
az — (3-1243)(2-4)"! — 6-7 — 9 (mod11), 
ahonnan 


x3—-97—1-—1-—2 (mod 11) 
y3—-9-(1—29—4—9 (mod 11), 


így 2P — (2,9). 4 


Elliptikus görbék kriptográfiai alkalmazása a generált csoportban a diszk- 
rét logaritmusképzés feladat nehézségére alapoz. A diszkrét logaritmuskép- 
zés feladat elliptikus görbékre a következő: 

3.5. Definíció (diszkrét logaritmusképzés feladat elliptikus görbékre). 
G - E csoportban adott 0 € E és P € E pontok esetén megkeresni azt az i 
egész számot, amelyre ig — P, feltéve, hogy ilyen létezik. 

Ennek megfelelően a Diffie-Hellman (DH) kulcscsere algoritmus (az al- 
goritmus részletes leírását lásd a 8.4. szakaszban) elliptikus görbékre a kö- 
vetkező: 





Diffie-Hellman-protokoll elliptikus görbékre 
(D AGB: ka 
(2) B-A: kpo 
(Ba) A: Pka(kso) 
(b) B: Pkelkap) 
ahol egy E, GF(g) feletti elliptikus görbe (E/GF(g)) egy előre megálla- 
podott 0 pontja a nyilvános kulcs, továbbá ka az A, illetve kg a B fél által 
választott véletlen egész szám az (1,2, . . . /GI) halmazból. Az E elliptikus 
görbe így kiszámított P pontja lesz a közös kulcs, amelyet előre megállapo- 
dott módon konvertál egy bináris sorozatba a két fél. Egy hallgatózó támadó 
a (G,kaA0,kO, 0) ismeretében szeretné meghatározni P — kakgO pontot, 
amivel a Diffie-Hellman számítási probléma nehézségével kerül szembe. 
Az ElGamal rejtjelezés a DH-kulcscsere kis módosításával megkapható. 
Ha A fél szeretne B félnek egy titkos M üzenetet küldeni, akkor a DH- 
kulcscsere (3a) és (3b) lépése helyett a 











6) ACB: rOlM--r(ksO) 
lépés kerül végrehajtásra, ahol r egy további véletlen egész szám az (1,2, 
- . . [GI) halmazból. 
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A diszkrét logaritmusképzés problémára épülő alkalmazások, mint a Dif- 
fie-Hellman-kulcscsere protokoll, illetve az ElGamal nyilvános kulcsú rejt- 
jelező algoritmus, eredetileg a GF(p) illetve a GF(2") véges testek p— 1, 
illetve 27 — 1 méretű multiplikatív csoportjára épültek. Míg azonban ezen 
csoportok esetén léteznek szubexponenciális algoritmusok a logaritmuskép- 
zésre, addig az elliptikus görbék esetén ilyen nem ismert. Pontosabban míg 
GF(a) feletti diszkrét logaritmusképzésre a jó algoritmusok futási ideje 
elo(v/ hatra), addig (E/GF(g)) esetén a diszkrét logaritmusképzés ideje 
nem gyorsabb, mint egy általános csoportra: e(0(lng)) . 


3.5. Feladatok 


3.1. Feladat. Egy játék RSA algoritmus esetén: p — 5, g— 11 prímeket vá- 
lasztottuk. Adja meg a legkisebb kódoló kulcsot, s az ehhez tartozó dekódoló 
kulcsot! Írja alá az x — 2 üzenetet! 


3.2. Feladat. Tekintsük az RSA rejtjelezést p — 23, g — 71 prímekkel. 


1. Hány olyan x üzenet van (1 C x c N), amelynek nincs közös faktorja a 
titkos prímekkel? 


2. Mekkora annak a valószínűsége, hogy egy véletlenszerű x üzenet N fak- 
torizációjára ad lehetőséget? 


3.3. Feladat. Támadjon meg egy RSA rejtjelezőt, amelyről a nyilvános N — 
4003997 modulus, valamint az e — 379 kulcs mellett megtudja a p(N) — 
3999996 értéket is. 


1. Számítsa ki a d dekódoló kulcsot! 
2. Adja meg az N — pg prímfaktorjait! 


3.4. Feladat. Ha két, RSA rejtjelezéssel kommunikáló pár közötti külön- 
böző lehetséges üzenetek száma kicsi halmaz, támadásra ad lehetőséget. Te- 
gyük fel, hogy a támadó ismeri az üzenethalmazt, de nem ismeri az RSA 
dekódoló kulcsot, s támadásra szánja el magát. 

1. Adja meg a támadás menetét! 


2. Javasoljon algoritmikus védekezési módot! 
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3.5. Feladat". Egy y rejtjelezett blokkot figyelünk meg. Feladat az x nyílt 
blokk meghatározása. Az x vonatkozásában semmi a priori ismeretünk nin- 
csen, az tetszőleges lehet. Elvileg meghatározható-e x, ha 

1. RSA 

2. DES 


kódolással készült? Indokoljon, illetve adjon módszert! Segít-e, ha ismert 
formátumú az üzenet? 


3.6. Feladat. Ha gyors RSA kódolást kívánunk megvalósítani, miért elő- 
nyös az e — 3, illetve általában az e — 2" --1 alakú választás? Adja meg a 
számításigényt a szükséges szorzások számában! 


3.7. Feladat. Fermat-álprím-e 

1. n—87ab 5 bázisra nézve? 

2. n— 33 a b — 32 bázisra nézve? 

3. Általánosítsa a 2.) esetet! Vonja le a következtetést! 


3.8. Feladat. Ha egy RSA kódolást a rejtjelezett blokkon ismételten sokszor 
elvégzünk, akkor szerencsével a következő támadást hajthatjuk végre: 

Megfigyelünk egy y rejtjeles blokkot, majd kódoljuk azt a nyilvános kulcs- 
csal, s aztán az eredményt újra kódoljuk, és így tovább. Ha az i-edik újrakó- 
dolás után újra visszakapjuk y rejtjeles blokkot, azaz y — (eső 3 )", akkor — az 
invertálhatóság kapcsán — nyilván x — x" , azaz egyértelműen megkapjuk 
a nyílt blokkot. Mutassuk meg, hogy az m — 35 modulusú játék-RSA ezen 
támadás szempontjából nem biztonságos semmilyen szóbajövő e nyilvános 
kitevő mellett sem! 


3.9. Feladat. Tekintsünk egy RSA rejtjelezőt e — 3 nyilvános kulccsal. Le- 
gyen a blokkhossz 128 byte (1024 bit). Tegyük fel, hogy rövidek az üze- 
neteink, hosszuk nem nagyobb, mint 40 byte, s a nagyobb helyiértékek felé 
nullákkal egész blokkokra egészítjük ki azokat. Van aki azt állítja, hogy a rej- 
tett blokkokat lehallgatva fejti az üzeneteket. Hihetetlen? Milyen tanulságot 
vonna le? 


3.10. Feladat. Az RSA kódolás is blokk kódolás, ezért felmerül az ismert 
blokk kódolás módok alkalmazásának lehetősége az RSA felhasználásával 
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(a blokkrejtjelezési módok leírását lásd az 5. fejezetben.). A CFB, illetve az 
OFB mód alkalmazhatók-e? 


3.11. Feladat. Az RSA algoritmus a kulcsgenerálásnál a p(N) — (p— 1) - 
(g— 1) modulust alkalmazza. Használhatnánk-e ehelyett a z — 1.k.k.t.(p— 1, 
§g—1) modulust? 


3.12. Feladat. Igazolja, ha az alábbi két feladat valamelyikére van hatékony 
megoldó algoritmusunk, akkor van a másikra is: 

1. dekódoló exponens kiszámítása (N — pg, e) nyilvános adatokból, 

2. N — pg szorzat faktorizálása. 


3.13. Feladat. Ha az üzenetek tere kicsi, a támadás megelőzésére szokásos 

megoldás a nyílt üzenet friss véletlen elemmel bővítése a rejtjelezést meg- 

előzően. Tegyük fel, hogy az üzenethossz egy RSA blokk méretű. Hogyan 

végezzük a véletlen elemmel bővítést a rejtjelezés előtt: 

1. tömörítsük az üzenetek halmazát, s egy blokknál rövidebb bithosszal írjuk 
le azokat, majd egészítsük ki véletlen bitekkel teljes blokkra, vagy 

2. bővítsük egy teljes véletlen blokkal két blokk hosszúvá az üzenetet, majd 
alkalmazzunk CBC módú láncolásos rejtjelezést (a CBC leírását lásd az 5. 
fejezetben)? Ekkor két blokkot kell továbbítanunk, de a módszer, ameny- 
nyiben biztonságos, használható lenne tetszőleges blokkszámú nyílt szö- 
veg esetére. s 


3.14. Feladat. Legyen xi és x2 két üzenet, továbbá yi és y2 a megfelelő két 
rejtjeles blokk, amit RSA kódolással kaptunk. Érvényes a következő multi- 
plikatív tulajdonság: 
(x1x2)" — yiy2 mod N, 

azaz az üzenetek szorzatának rejtjeles képe a rejtjeles képek mod N szorzata. 
Egy támadó dekódolni szeretne egy x( — y mod N rejtett szöveget. Tegyük 
fel, hogy a megtámadott dekódol tetszőleges neki küldött, számára nem bi- 
zalmas tartalmú üzenetet. Hogyan hajthat végre a támadó sikeres támadást 
az y dekódolására? 


3.15. Feladat. A 3.14. feladatban említett multiplikatív tulajdonság kapcsán 
felmerül a kérdés, hogy lehet-e olyan balszerencsés üzenetformátumot meg- 
adni, amelynél két üzenet szorzata szintén — a formátum szerint — elfogad- 
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ható üzenetre vezet? Ugyanis ekkor, lévén az üzenetek szorzatának rejtjeles 
képe a rejtjeles képek szorzata, az üzenetformátum megkötést is kijátszhatná 
a támadó. 


3.16. Feladatt. Az e,d,N RSA paramétereket ismerve, faktorizálható-e az 
N modulus? 


3.17. Feladat. Egy S megbízható szerveren — azért, hogy egyféle modulo 
aritmetikát kelljen csak használni — az A1,A2, Az, --- felhasználók mindegyi- 
kéhez azonos N modulussal felépített RSA kódolót telepítenek. Természete- 
sen az (ej, d;) nyilvános-rejtett kulcs párokból a szerver különbözőket oszt ki 
a különböző felhasználók számára. Nyilván nem oszthatja ki a p és g príme- 
ket. Ennek ellenére veszélyes az azonos modulus választás. Miért? 


3.18. Feladat. Mekkora veszélyt jelent az az elvi lehetőség, hogy az RSA 
rejtjelezés eredménye megegyezik a nyílt szöveggel, azaz nem történik meg 
a rejtés? 


3.19. Feladat. Szeretnénk megtudni A felhasználó N — pg RSA modulusa 
titkos faktorjait. Felelőtlenül jár-e el A, ha , baráti" kérésünkre egy b számnak 
megmondja egyik modN szerinti négyzetgyökét. 


3.20. Feladat. Ha az A felhasználó egy az RSA algoritmuson alapuló aláírá- 

sához egy mA, míg a B felhasználó felé történő, ugyancsak RSA alapú rejt- 

jelezéshez mg modulust alkalmaz, ahol ma 2 mg, akkor rejtjelezéssel védett 
aláírt blokk esetén fellép a blokkméret-probléma: ha egy M üzenetblokkot 

Ex[DA(M)] módon kódolunk, akkor gondba kerülünk a kódolásnál, mivel a 

DA(M), mint egész szám nagyobb, mint az mg modulus. Két megoldáson 

gondolkozunk: 

1. Megoldást jelentene-e a kétféle transzformáció modulus méretének meg- 
felelő sorrendű alkalmazása, azaz esetünkben A először rejtjelezzen, majd 
írjon alá? iz 

2. A rendszerben a modulusokat a következő alakban választjuk: legyen a 
modulus a következő bináris alakú: 100...0xx...x, ahol a legmagasabb he- 
lyiértékű 1 bitet k darab 0 bit követi. Mutassuk meg, hogy ekkor legfeljebb 
(1/2)" a valószínűsége annak, hogy a blokkméret-probléma előforduljon! 


4. 


Kriptográfiai hash függvények 


Egy H : (0,1y" — (0,1y" hash függvény tetszőleges hosszúságú ősképtér- 
beli bináris sorzatot rögzített, n hosszúságú bináris sorozatba képez. A leg- 
gyakoribb alkalmazás okán, egy ősképtérbeli M elemet M üzenetnek (illetve 
dokumentumnak), a megfelelő H(M) képtérbeli elemet hash értéknek (il- 
letve lenyomatnak) nevezzük. 


4.1.  Hash függvény fajták és biztonsági kritériumok 


A Merkle-től származó iterációs konstrukció alapja egy f : (0,17— (0, 1" 
iterációs (kompressziós) függvény (4.1. ábra). 














Kezdeti 
érték 

















4.1. ábra. Iterált kriptográfiai hash függvény 


Az M € (0,1y" üzenetet, amelyre a lenyomatot képezzük, n bites blok- 
kokra bontjuk. Legyen 
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— [M1, M2, -.., Mi] 


ez a felbontás, ahol M; az i-edik üzenetblokk, és az üzenet t blokkból áll. Ha 
az utolsó blokkba eső üzenetdarab n bitnél rövidebb lenne, akkor feltöltjük 
hn bit hosszúságúra (kiegészítés, padding). Az iterációs számítás 


H; — f(M, Hi. 1), 


i— 1,2,...,t lépésekben történik, ahol Hg egy — nyilvános — kezdeti értéket 
vesz fel. A H (iterált) hash függvény a 


H(M,Ho)— H, 


hash értéket szolgáltatja. A továbbiakban, ha hangsúlyozni kívánjuk a hash 
függvény iteratív voltát, kiemeljük a Ho kezdeti értéket is. 

A hash függvények két fő fajtáját különböztetjük meg: az egyirányú és az 
ütközésmentes hash függvényeket. 

Az egyirányú tulajdonság az egyirányú függvények formális definíciója 
szerinti. A hash függvény specialitása, hogy az ősképtere nem rögzített hosz- 
szúságú bináris sorozat. Az egyirányúság jelentése az, hogy könnyű feladat 
kiszámítani H(M) lenyomatot bármely adott M üzenetre, de nehéz feladat 
adott üzenethez tartozó lenyomatra vezető üzenetet előállítani (az egyirányú 
függvény formális definícióját a bizonyított biztonság elmélete rész első fe- 
jezete tartalmazza). Az egyirányú hash függvények szokásos neve még az 
ősképellenálló, továbbá szokásos rövidítése az angol nevéből OWHF (One 
"Way Hash Function). 


4.1. Példa. Ha nem lenne nehéz egy adott lenyomathoz ősképet találni, ak- 
kor - elvileg — nyilvános kulcsú aláírást tudna hamisítani egy lehallgató tá- 
madó: a támadó előállítja a lenyomatot, amelyhez az aláírás is rendekezésre 
áll, majd ezen lenyomathoz előállít egy csaló ősképet (dokumentumot). Fon- 
tos azonban észrevenni, hogy — amint az szokásos — egy dokumentum for- 
mátummal rendelkezik, s így elenyésző lesz annak a valószínűsége, hogy az 
előállított őskép még a formátum követelménynek is eleget tegyen. 4 


4.1. Definíció (gyengén ütközés-ellenálló hash függvény). A H hash függ- 
vény gyengén ütközés-ellenálló vagy második őskép ellenálló M üzenetre, ha 
nehéz feladat előállítani egy M" (4 M) üzenetet (második ősképet), amelynek 
azonos a lenyomata, azaz melyre H(M") — H(M). 
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4.2. Definíció (ütközés-ellenálló hash függvény). Egy H hash függvény üt- 
közés-ellenálló (CRHF, Collison Resistant Hash Function), ha nehéz olyan 
M, M", M" 4 M üzenetpárt találni, amelyre H(M") — H(M). 

4.2. Példa. Ha nem lenne nehéz ütköző párt előállítani, akkor maga az üze- 
netet küldő fél kísérelhetne meg csalást olyan módon, hogy még aláírás előtt 
előállít két, azonos lenyomatú dokumentumot, ahol az egyik a tartalékban 
maradó csaló célú dokumentum, a másik az aláírásra és elküldésre szánt. A 
csaló dokumentumot abban az esetben mutatja fel a támadó, ha a körülmé- 
nyek úgy alakulnak az aláírást követően, hogy az elküldött, aláírt dokumen- 
tum tartalma számára már nem kedvező. 4 


Az ütközésmentesség tulajdonságból nem következik az ősképek párjai 
lenyomatainak , valamiféle függetlensége". Statisztikai értelemben, adott 
üzenetpár esetén, ilyesmi nem is kerül szóba determinisztikus leképezések- 
nél, de még olyan mérőszámok vonatkozásban sem, mint a kicsi korrelált- 
ság, ahol M és M! bináris 2r hosszúságú üzenetek korrelációját dist(H(M), 
H(M?")) — r definálja, ahol dist(x,y) a Hamming-távolság. Az ütközésmen- 
tesség tulajdonság csak azt követeli meg, hogy nehéz legyen olyan üzenet- 
párt találni, amelyre ezen korreláció maximális. 


4.3. Definíció (szabad kezdőérték). Iteratív hash függvényt tekintve, abban 
az esetben, ha a Ho kezdőérték szabad megválasztása mellett állítunk elő 
ősképet, második ősképet vagy ütköző üzenetpárt, akkor azt mondjuk, hogy 
szabad kezdőérték melletti ősképet, második ősképet vagy ütköző üzenetpárt 
állítottunk elő. 


Megjegyezzük, hogy az angol nyelvű irodalomban a , pseudo" jelzőt hasz- 
nálják e célból (pseudo-preimage, second pseudo-preimage, pseudo-colli- 
sion). Nyilván valamivel könnyebb feladat a szabad kezdőérték melletti tá- 
madás, ugyanakkor már akkor sem tekintjük a hash függvényt biztonságos- 
nak, ha a szabad kezdőérték melletti támadás sikeres ellene. 


4.4. Definíció (univerzális egyirányú hash függvény). Abban az esetben be- 
szélünk univerzális egyirányú hash függvényről (UOWHF), ha lenyomat- 
képző függvények egy (hr)kex indexelt halmaza áll rendelkezésre, ahol az 
indexek egy K halmazból veszik az értékeiket, továbbá a tagfüggvényeknek 
azonos ősképterük, illetve képterük van, továbbá: 

Ha először választanunk kell egy M üzenetet, s ezután kerül csak véletlen- 
szerűen kisorsolásra egy hx függvény, akkor nehéz feladat olyan M(4 M) 
üzenetet találni, amelyre hy(M") — ha(M) . 
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Az UOWHF a CRHF egy vonzó alternatívája, mivel valamivel egyszerűbb 
hatékony és biztonságos UOWHF előállítása, másrészt számos alkalmazás- 
ban (pl. digitális aláírás) elegendő biztonságot nyújthat. A Cramer-Shoup 
rejtjelező konstrukció kapcsán láthatjuk egy felhasználását a bizonyított biz- 
tonságú nyilvános kulcsú rejtjelezőkről szóló fejezetben. 


4.5. Definíció (kulcsolt hash függvény). Kulcsolt hash függvény tetszőleges 
hosszúságú M üzenetet és rögzített hosszúságú K kulcsot rögzített hosszú- 
ságú H(k, M) lenyomatba képez le az alábbi tulajdonságokkal: 
1. könnyű kiszámítani H(k,M) lenyomatot adott M és k esetén, 


2. k kulcs ismerete nélkül nehéz kiszámítani a H(k,M) értéket tetszőleges 
M üzenet esetén, még az esetben is, ha ismert (M;, H(k, M;)), M £ M;, 
i— 1,2,... párok állnak rendelkezésre, 

3. nehéz a k kulcs kiszámítása (M;, H(k, M;)), i — 1, 2, . . . párok ismeretében, 


4. k kulcs ismerete nélkül fennáll az egyirányúság és a gyenge ütközésmen- 
tesség, azaz 


(a) ha adott y lenyomat, nehéz feladat olyan M üzenetet találni, amelyre 
H(k,M) —y, 

(b) ha adott M és H(k,M), nehéz olyan M(- M) üzenetet (második ős- 
képet) találni, amelyre H(k, M") — H(k, M). 

A kulcsos hash függvény természetes alkalmazása az üzenethitelesítés 
célú kriptográfiai ellenőrzőösszeg képzése, amellyel rejtjelező kódolásra tá- 
maszkodás (pl. CBC-MAC) nélkül lehet biztonságos ellenőrzőösszeget ké- 
pezni. 

4.3. Példa. Ha kulcsolt hash alapján szeretnénk kriptográfiai ellenőrzőösz- 
szeget készíteni, körültekintően kell eljárnunk. Egy tipikus hiba a következő: 
ha a Ho kezdővektort adja a kulcs, akkor könnyen generálható egy ellen- 
Őőrzőösszeg új üzenethez; legyen az új üzenet a megfigyelt üzenet bármely 
folytatása. 4 


Alább vizsgáljuk az ütközésmentesség, a gyengén ütközésmentesség, va- 
lamint az egyirányúság tulajdonságok kapcsolatát. Kiderül, hogy az ütközés- 
mentesség a legerősebb tulajdonság. Az első állítás az ütközésmentesség és 
a gyengén ütközésmentesség tulajdonság szoros kapcsolatára vonatkozik. 


4.6. Tétel. Egy H hash függvény akkor és csak akkor ütközésmentes, ha ne- 
héz olyan M üzenetet találni, amelyre nem gyengén ütközésmentes. 
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Bizonyítás: Ha van hatékony algoritmusunk, amely H függvényhez felmutat 
ütköző párt, akkor ezen pár bármelyik tagja nem gyengén ütközésmentes, 
hiszen már ismerjük az ütköző párját. 

Megfordítva, ha van hatékony algoritmusunk, amely előállít egy nem gyen- 
gén ütközésmentes M üzenetet, ez — definició szerint — azt jelenti, hogy nem 
nehéz feladat előállítani hozzá egy azonos lenyomatú M"(-£ M) üzenetet. Ez 
viszont azt jelenti; hogy M,M!" ütköző üzenetpár előállítása nem nehéz fel- 
adat. a 


A tétel egyik következménye, hogy ütközésmentes hash függvény esetén 
a nem gyengén ütközésmentes üzenetek részaránya elhanyagolhatóan kicsi. 
Az alábbi tétel az ütközésmentesség és az egyirányúság tulajdonság kapcso- 
latát tárja fel: 


4.7. Tétel. Jelölje X illetve Y véges halmaz a H függvény ősképterét, illetve 
képterét, ahol IY] c IXI. Tegyük fel, hogy létezik egy hatékony I invertáló 
algoritmus, amely tetszőleges lenyomatra, mint bemenetre, kiszámít egy üze- 
netet. Ekkor megadható egy hatékony algoritmus, amely legalább 1 - NYIAXI 
valószínűséggel ütköző üzenetpárt tud előállítani. 

Bizonyítás: Tegyük fel, hogy H nem egyirányú. Legyen / egy hatékony in- 
vertáló algoritmus. Válasszunk véletlenül egy M üzenetet, s számítsuk ki 
az M" — I(H(M)) ősképet. Ha M! £ M, akkor sikerült ütköző párt előállí- 
tani. Vizsgáljuk a P(M" £ M) sikervalószínűséget. Jelölje X illetve Y véges 
halmaz a H függvény ősképterét illetve képterét. Jelölje (M) a H(M) le- 
nyomathoz tartozó ősképek halmazát. Válasszunk ki egy-egy reprezentáns 
elemet egy-egy ilyen ősképhalmazból. Legyen ezen reprezentánsok halmaza 
V, s a jelölésünknek megfelelően, ha v egy reprezentáns elem, akkor (v) 
jelölje a v által reprezentált ősképhalmazt. Nyilván 


PIM A MIM]—((M3I—D/EMI], 
ahonnan egyenletes eloszlást feltételezve az üzenetek halmaza felett: 


PI" AM] — e EPE AMI TET ZÚG — D/HEMI 
-E Z 06-D/I6H mze-D 


veV Me(v) 


5 per(b2l-IYD—1-I71/Ixt. 
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Mivel az iterációs függvény tömörítő, ézért már egy blokknyi üzenet le- 
nyomata képzésekor is nagy a siker valószínűsége. Ha például felére tömörít 
az iterációs függvény, akkor egy üzenetblokk esetén 1/2 valószínűség adó- 
dik az ütköző pár találati sikerre. o 


Az iterációs lenyomatképzés előnye, hogy tetszőleges hosszú üzenet le- 
nyomatának képzését, s ezen lenyomatképzés kriptográfiai tulajdonságait 
visszavezethetővé teszi az iterációs függvény megfelelő tulajdonságaira. Fel- 
merül a kérdés, hogy az f kompressziós függvény mely tulajdonságai ered- 
ményeznek biztonságos iteratív hash leképezést, nevezetesen egyirányú, il- 
letve ütközésmentesség tulajdonságot. Azt nem nehéz látni, hogy gyenge 
kompressziós függvényekre alapozott iterációs függvény is gyenge lesz, pl. 
ha f nem ütközésmentes, akkor egy blokk hosszú üzeneteket tekintve a hash 
leképezés sem ütközésmentes (szabad Ho választásra semmiképp). Viszont 
nem feltétlen terjed ki az iterációs hash függvényre a kompressziós függ- 
vény egy jó tulajdonsága. Az ütközésmentesség vonatkozásában szerencsére 
ismeretes egy igen egyszerű konstrukció, amely ezt a kiterjesztést garantálja: 
4.8. Tétel (Damgard-Merkle-(DM)-kiegészítés). Tegyük fel, hogy van egy 
f kompressziós függvényünk ütközésellenálló tulajdonsággal. Ha az M — 
[IM1,M2, . . ., M,-1] üzenetet kiegészítjük egy M, blokkal, amely tartalmazza 
az M üzenet bithosszát (nulla bitekkel kiegészítve egész blokkhosszra), akkor 
az f kompressziós függvényre épülő iterációs hash függvény is ütközésmen- 
tes lesz. 





Bizonyítás: Indirekt. Tegyük fel, hogy hatékonyan elő tudunk állítani ütköző 
MM" üzenetpárt, ahol most az üzenetbe még nem értjük bele a kiegészítést. 
Két esetet különböztetünk meg: az első esetet, amikor azonos bithosszú a pár 
két tagja, illetve a második esetet, amikor különböző. 

Az első esetben m — (M1, M2, . . . , M,], m! — (MI, M3, . . ., Mf) párra áll elő 
azonos kimenet: az r-edik üzenetblokk azonos (az azonos bithosszot tartal- 
mazza), ezért H CRHF tulajdonsága miatt ez csak úgy lehetséges, ha a kö: 
benső, (r— 1)-edik iterációs lépés kimenete is azonos; ha az (r— 1). üze- 
netblokk is azonos, akkor H CRHF tulajdonsága miatt ez ismét csak úgy 
lehetséges, ha a közbenső, (r— 2)-edik iterációs lépés kimenete is azonos, 
és így tovább. Ha — ilyen módon visszafelé haladva az iterációban — a j-edik 
blokk az első különböző a két üzenetben, akkor ellentmondásra jutunk, mivel 
ezen lépésben ütközés állna elő a kompressziós függvényre. 

A második esetben m — [M1, M2, . . . , M/], nm! — [M4, M3, . . ., M3] párra áll 
elő azonos kimenet, ahol az utolsó blokkok különbözők (a különböző bít- 
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hosszot tartalmazzák). Mivel a r-edik üzenetblokk különböző, ezért semmi- 
képp sem állhatott elő ütközés a kimeneten, ellenkező esetben H ütközés- 
mentes tuladonságával kerülnénk ellentmondásba. 5) 


4.2. A születésnapi paradoxon 


A születésnapi paradoxonnal kapcsolatos kérdés a következő: , Mekkora a 
valószínűsége annak az eseménynek, hogy emberek egy véletlenszerűen vá- 
lasztott r fős csoportjában van legalább két személy, akik azonos napon szü- 
lettek?" A paradoxon, vagyis az ember józan sejtésével nehezen érthető tény 
az, hogy ahhoz, hogy a kérdéses valószínűség , körüli érték legyen, elegendő 
r — 23 személyből álló csoportot választani. Ugyanakkor r — 253 személy- 
ből álló csoport szükséges ahhoz, hogy 2 körüli valószínűsége legyen annak, 
hogy a választott r személy között van egy, aki egy adott napon született. 
A kérdéses P valószínűség elemi kombinatorikus úton meghatározható: 


sg ő CA 
Pt zés 





amely jól közelíthető a 
P-1 szzgzln 


kifejezéssel (m — 365). Az r — /m választás esetén, P sz 1— €73 0.4. 

Tehát ha van egy nagy méretű halmazunk, amelynek elemeit egy egész 
számmal kifejezett jellemzővel címkézzük fel, amely jellemző m különböző 
értékű lehet, akkor m négyzetgyökének nagyságrendjébe eső méretű részhal- 
mazt választva már nagy annak valószínűsége, hogy a választott részhalmaz- 
ban van legalább kettő, azonos tulajdonsággal felcímkézett elem. 

Egy kissé módosított formában is fogjuk használni a paradoxont, s ez a 
következő kérdéshez kapcsolódik: , Mekkora a valószínűsége annak, hogy 
egy U nagy méretű alaphalmazból véletlenszerűen választva V és W r méretű 
részhalmazokat, azok metszete nem üres?" 

A kérdéses P" valószínűség és közelítése az alábbi: 

p - 1-0 £. 


2 5 1-6 
2 
(0) 
Az r — ,/m választás esetén, a P" sz 1— e sz 0.95 közelítést kapjuk. 
A születésnapi paradoxon jelentőségét a hash függvények esetében az 
adja, hogy ez alapján becsülhető egy ütközés találásának valószínűsége. Ha 
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ugyanis egy H hash függvény kimenete n bites, akkor a születésnapi para- 
doxon alapján 22 véletlenül választott üzenet között 4-hez közeli valószí- 
nűséggel lesz kettő, melynek ugyanaz a hash értéke, azaz ütköző párt alkot. 
Az ütközés-ellenállóság garantálásához tehát a kimenetet úgy kell méretezni, 
hogy 2? megfelelően nagy legyen, és így az ütköző párok véletlen választás- 
sal történő keresése gyakorlatilag kivitelezhetetlen feladattá váljon. Ez ma 
tipikusan n — 160 bites kimenetet jelent. 


4.3.  Bizonyítható biztonságú konstrukciók 


Az MD-kiegészítést már tekinthetjük egynek azon konstrukciók közül, ame- 
lyek bizonyítható tulajdonságú hash fügvényekre vezetnek. A bizonyítható 
biztonság vonatkozásban fő kutatási irányok és tervezési módszerek az aláb- 
bi csoportokba sorolhatók: 


1. információelméleti módszerek; 

2. komplexitáselméleti módszerek; 

3. (ideális) kriptográfiai primitívekre épülő hash függvények; 
4. dedikált módszerek. 


Az információelméleti megközelítés a tökéletes hitelesség elmélet kereté- 
ben konstruál hash függvényeket, s a cél a tökéletes rejtjelezés megfelelője a 
hitelesség feladatra. A konstrukciók kombinatorikai alapúak, diszkrét való- 
színűségszámítási technikákat is alkalmazva. 

A komplexitáselméleti módszerek a redukciós technikát alkalmazzák a 
bizonyításaikban, a tervezett hash függvény biztonsága támadhatóságát re- 
dukálják egy standard nehéz feladat hatékony megoldhatóságára. Az alábbi- 
akban egy példát mutatunk erre a módszerre, amely a diszkrét logaritmus- 
képzés nehézségére épít. 

Kis számításigényű primitívekből építkezés esetén gyors hash függvények 
tervezhetők, ugyanakkor kérdés a primitívek kriptográfiai tulajdonságaival 
kapcsolatos feltételezések (modell) helyessége. Továbbá az adott primitív 
(tipikusan szimmetrikus kulcsú blokkrejtjelező) — eredeti használata miatt — 
olyan tulajdonságokkal is rendelkezhet, ami az új felhasználási helyén már 
veszélyes lehet, s nem utolsósorban az így kapható hash függvények nem 
optimalizálhatók futási időre, lévén az építőelemeik futási ideje adott. Az 
első ilyen (publikált) tervezés a DM (Davies-Meyer) hash függvény volt, 
amelyre alább szintén visszatérünk. 
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A bizonyítható biztonságot nyújtó tervezések mind ez ideig nem vezettek 
gyakorlatban is jól használható (kriptográfiai) hash függvényekre. A gya- 
korlatban széles körben használt hash függvények (pl. MD család, SHA-1, 
RIPEMD-160, Snefru) mind közvetlen, dedikált tervezések, amelyeknél a 
tervező 
1. közvetlenül figyelembe tudja venni az erőforráskorlátokat (futási idő, tár- 

kapacitás), erre is optimalizál; 

2. igyekszik elkerülni olyan konstrukciós hibákat, amelyek a tervezés idejéig 

ismert támadások sikeressége alapjául szolgáltak. 
Ugyanakkor mind ez ideig — sajnos — nem állnak rendelkezésre olyan (publi- 
kált) tervezési módszerek, amelyek a dedikált tervezések esetén bizonyítható 
hash tulajdonságokra vezetnének. Ez nem azt jelenti, hogy a dedikált terve- 
zések során kritériumok teljesítésére ne lenne törekvés, mint például haté- 
kony diffúzió, nemlinearitás. Ugyanakkor ezen kritériumok formálisan nem 
kapcsolhatók össze a hash függvények olyan (komplexitás-elmélet indítta- 
tású) biztonsági kritériumaival, mint amilyen az egyirányúság vagy az üt- 
közésmentesség. A dedikált tervezések kriptográfiai kritériumai lényegében 
elsősorban arra irányulnak, hogy egy támadó ne állíthasson fel olyan egyen- 
letrendszert (viszonylag kevés változóban, linearitásokkal), amelyek alapján 
őskép, második őskép vagy ütköző pár számítása erőforrásai lehetőségein 
belülre kerülne. 


4.3.1. Egy komplexitás-elméleti konstrukció 


Az alábbi konstrukció diszkrét logaritmusképzés nehézségére épül. A konst- 
rukció az alábbi: 

Legyen p egy nagy prímszám, amelyre g — (p— 1)/2 is prímszám. Le- 
gyen c és B a GF(p) két primitív eleme. p, a, B nyilvánosak. A logy B 
diszkrét logaritmust nem hozzuk nyilvánosságra, és feltételezzük, hogy ki- 
számítása nehéz. Legyen egy H : (0,...,g— 1)x(0,...,9— 1) — GF(P)NO 
hash függvény az alábbi: 


H(Ca,x2) — 0" B? (mod p). 4.1) 


4.9. Tétel (Chaum-van Heijst-Pfitzman). A (4.1) formulával definiált hash 
függvény ütközésmentes, ha loga B diszkrét logaritmus kiszámítása nehéz. 

Bizonyítás: A bizonyítás indirekt. Tegyük fel, hogy rendelkezésünkre áll egy 
[(x1.x2), (x3..x4)], (x1.x2) A 0.4) üzenetpár, amely ütköző, azaz amelyre 
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H(x1,xa) — H(x3,xa). Így fennáll 0718? — ar38" (mod p) összefüggés, 
következésképpen az 


07173 — Br (mod p) (4.2 
összefüggés. Legyen 
d—1I.nk.o.a—x2,p— 1). 


Mivel p— 1 — 29, ahol g prim, ezért d € (1, 2, g, p— 1). A d ezen négy 
lehetséges értékét vizsgáljuk a továbbiakban. 5 

Tegyük fel, hogy d — 1 : Legyen y — (x4 — x2) 7! (mod p — 1). (4.2) fi- 
gyelembevételével B — B6s—2)y — abi—3) ( mod p), ezért a logy B loga- 
ritmust ki tudjuk számítani a következőképpen: 


loga B — (x1—x3)(x4— 2)! (mod p— 1). 


Tegyük fel, hogy d — 2 : Mivel p— 1 — 29, ahol g páratlan, ezért I.n.k.0.(xa — 
xa, 9) — 1. Legyen z — (x4 —x2) ! (mod 9). Mivel (x4—x2)z— kg-t 1 vala- 
mely k egészre, ezért 


pesze — Biett — (DB — B (mod p), 
ugyanis 89 — —1 ( mod p) . Innen adódik, hogy 
Bs — aln-n]e — B (mod p), 


azaz vagy 
loga B — (x1—x3)z (mod p— 1), 


vagy 

1oga B — (11—x3)z-tg (mod p— 1). 
Könnyen ellenőrizhető, hogy melyik az igazi a kettő közül, azaz ez esetben 
is kiszámítottuk a log, P logaritmust. 

Tegyük fel, hogy d — a : Mivel 0 £ x; £g—1 és 0 £ x4 £ 9-1, így 
—(g—1) £x4—x2 £ 9 — I. Ez azonban nem lehetséges, hiszen feltételezé- 
sünk szerint /.n.k.o.(xa4—x2,p— 1) — a. 

Végül tegyük fel, hogy d — p— 1 : Ez 0 £ x2,x4 £ g— 1 miatt csak ak- 
kor lehetséges, ha xz — x4. Ekkor a" B? — o/38? (mod p), s ezért o71 — 
03 (mod p), azaz xy — xz is fennállnak. Azonban ekkor (x1,x2) — Gül 
következne. Tehát ez az eset sem lehetséges. 
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4.3.2. . Davies-Meyer-(DM)-séma 
Tekintsük a 
H; — f(Mi, Hi-1) — Em(Hi-1) 4 Hi-1 (4.3) 


alakú iterációs függvényt. Ez a Davies-Meyer-(DM)-séma (4.2. ábra). En- 
nek megfelelő struktúrát alkalmaz számos elterjedt hash függvény, így pél- 
dául az MD-x család (MD: Message Digest), amely esetben az E rejtjelező 
transzformáció helyett egy F invertálható transzformáció szerepel. A beme- 
net előrecsatolásával azt kívánjuk elérni, hogy a tömörítő függvény ne le- 
gyen könnyen invertálható az (M;, H;-1] bemenetére. Ellenkező esetben az 
iterációs láncban visszafelé is tudnánk számolni, s ennek alapján középen 
találkozásos születésnapi paradoxon támadáson alapuló (rögzített /o mel- 
letti) őskép kiszámítását tudnánk elvégezni. 


Hi.1 





4.2. ábra.  Előrecsatolással képzett iterációs függvény 


A DM séma egyirányúságának bizonyítását R. Merkle adta meg, aki az 
egyik úttörő kutató volt a kriptográfiai hash függvények konstrukciós alap- 
jainak kidolgozásában. Az E rejtjelezőt ideális modellel, egy titkos véletlen 
függvénnyel, helyettesítjük, s ezen , idealizált" építőelemet tartalmazó konst- 
rukcióra bizonyítjuk azt a tulajdonságot, amit az eredeti konstrukcióra sze- 
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rettünk volna belátni. (Rokon bizonyítási technikát mutatunk be a bizonyított 
biztonság elmélet véletlen orákulumos technikája kapcsán.) 


4.10. Tétel (Merkle). A DM séma egyirányú hash függvényt ad, ha az F 
transzformáció véletlen leképezéssel modellezhető, ahol a támadó erőfor- 
rására nem teszünk korlátozást. 


Bizonyítás: ( Vázlat.) Tegyük fel, hogy az E transzformáció helyett egy vélet- 
len leképezés áll, amely a különböző, rögzített [M;, H;- 1] bemeneteit függet- 
len, a kimenet téren egyenletes eloszlású valószínűségi változókba képezi 
le. Ekkor az XOR összeadás miatt, az f kompresziós függvény kimenetén 
ugyanez a tulajdonság érvényben marad. Az f bemenete és kimenete statisz- 
tikailag független bármely bemeneti eloszlás mellett. Az invertáló támadó 
feladata, hogy egy y kimenet ismeretében egy hozzá tartozó x bemenetet ki- 
számoljon. Ehhez használhat x-től különböző bemenetekhez kért (bemenet, 
kimenet] párokat a polinomiális korláton belüli számban. A különböző be- 
menetekhez független kimenetek tartoznak, így ezen információ mellett is 
csak elhanyagolható valószínűséggel (bemenet dimenzióban exponenciáli- 
san kicsi valószínűséggel) lehet sikeres. ű 


Ezen egyirányúság bizonyítás tehát nem az eredeti (konkrét) f leképe- 
zésre, hanem annak egy idealizált modelljére vonatkozik. Ha a véletlen függ- 
vényt kriptográfiai álvéletlen függvénnyel helyettesítjük (lásd az álvéletlen 
függvényekről szóló 16. fejezetet), a fenti tétel érvényben marad, amennyi- 
ben a polinom erőforráskorlátú támadót tételezünk fel. 

Megjegyezzük, hogy az ütközés tulajdonság vonatkozásban véletlen le- 
képezés modell mellett a születésnapi paradoxon felhasználásával juthatunk 
analóg állításra. 


4.4. Feladatok 


4.1. Feladat". Tekintsünk egy h : X — Y hash függvényt. Minden y € Y-ra 
jelölje h7! (y) az y ősképeinek halmazát: 


40) — (x: hb) —y)- 


Legyen £ annak a valószínűsége, hogy két véletlen választott (nem feltétlen 
különböző) X-beli elem, xy és xa ütközik, azaz h(xi) — h(x). Bizonyítsa be, 
hogy 
1 
£2— 


Ivy 
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$s az egyenlőség akkor és csak akkor áll fenn, ha minden y € Y-ra 


-ur yi — KI 
In "0l- 


Segítség: Ismert, hogy minden a1 , 42, . . . , an 2 0 esetén 


té pe) te Z 
9 zs! Vg 
5 L 121. px aj] , 
ahol az egyenlőség akkor és csak akkor áll fenn, ha minden a; egyenlő. 


4.2. Feladat. Az iterációs függvény , erejénél" nem nagyobb a hash függ- 
vény , ereje", azaz az előbbire végrehajtható hatékony támadás kiterjeszthető 
a hash függvény elleni hatékony támadássá. Mutassuk meg ezt a CRHF tu- 
lajdonságra! 


4.3. Feladat. Egy iterációs hash függvény esetén mutassuk meg, hogy egy 
H(m, Ho) — H(m, H(), m A nm pszeudo ütközés előállítása nem nehéz fel- 
adat! 


4.4. Feladat. Tekintsünk egy ideális H hash függvényt, amely n bit mé- 
retű hash értéket ad, s tekinthetjük véletlenszerűnek a leképezést. Mutassuk 
meg, hogy az ütközéshez szükséges számítások várható értékére jó közelí- 
tés 0(27/?)! (Segítség: Tekintsen t különbözó bemenetet, s a hozzájuk tar- 
tozó hash értéket. A bemenet párokra kapott hash értékek azonosságához 
rendeljen 0/1 értékű indikátort. Adja össze ezen indikátor valószínűségi vál- 
tozókat, számítsa ki a várható értéket, s állítsa be 1 közeli értékre a várható 
ütközésszámot a t megfelelő megválasztásával.) 


4.5. Feladat. Tekintse a 


fb hah]—n 
HEJ PK egyébként 
függvényt, ahol g : (0,1y — (0,1)" CRHF tulajdonságú. Igazolja h(x) fel- 
használásával, hogy egy függvény CRHF tulajdonsága még nem garantálja 
az OWHF tulajdonságot! 
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4.6. Feladat. Tekintse az alábbi iterációs függvényű lenyomatkészítő eljá- 
rást: § 
Hi — f(Mi, Hi. 1) — Em(Hi-1). (4.4) 


Mutassa meg, hogy ezen lenyomatkészítő nem OWHF! 

(Segítség: Alkalmazza a születésnapi paradoxonon alapuló középen talál- 
kozás támadást, kettévágva az üzenetblokk-sorozatot; egyik oldalról Ho-tól 
előre iterálva, a másik oldaról a H hash értéktől visszafelé iterálva.) 


4.7. Feladat. n bites hash lenyomatot képező iteratív hash függvényből n/ — 
2n bites lenyomatot képzőt szeretnénk előállítani olyan módon, hogy a két 
utolsó iteráció eredményét konkatenáljuk, azaz [H,. 1, H,] 2n bites lenyoma- 
tot használunk az n bites H, helyett. Hatásos-e ezen dimenziónövelő meg- 
erősítési ötlet a születésnapi támadás sikerének csökkentésére? 


4.8. Feladat. Legyenek adottak a HI és H2 ütközés-ellenálló hash függvé- 

nyek (CRHF). 

1. Bizonyítsa be, hogy a konkatenáció művelettel kapott H" — (1, H2] hash 
függvény is CRHF! Tehát ez a dimenziónövelés hatásos. 

2. Egy g : (0,1)7" — (0,1y" segédfüggvénnyel H" — 8(H1, H2) dimenzió 
visszaszűkítést végrehajtva egy az eredeti H1 és H2 komponens függvé- 
nyek bemenet-kimenet dimenziójának megfelelő hash függvényre jutunk 
(4.3. ábra). Milyen előnyei lehetnek egy ilyen konstrukciónak? 


je 


Hi H2 





























4.3. ábra. Hash függvények kaszkádosítása 
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4.9. Feladat. S kriptográfiai ellenőrzőösszeget egy H iterációs hash függ- 

vény, egy k szimmetrikus kulcs felhasználásával készítünk egy M üzenetre 

az alábbi módokon: 

1. § — H(Ik,M]), azaz az üzenetet egy kulcsblokk prefix-szel bővítjük, 

2. §— H(IM,k]), azaz az üzenetet egy kulcsblokk suffix-szel bővítjük, 

3. § — H(Ik, M,k]), azaz a kulcsblokkot alkalmazzuk mind prefixként, mind 
suffixként. 

Biztonságosak-e ezen konstrukciók? 


4.10. Feladat. Ha mind a titkosság, mind pedig az adatintegritás biztosítása 
szükséges, egy lehetséges módszer a rejtjelezés és a lenyomatkészítés együt- 
tes alkálmazása, az 

E,(mIH(m)) (4.5) 


kódolás, azaz az üzenetet lenyomattal meghosszabbítjuk, majd rejtjelezünk. 


1. Képezzük a lenyomatot olyan módon, hogy az üzenetblokkokat XOR ösz- 
szeadással összeadjuk, továbbá a rejtjelezés legyen CBC módú (a CBC 
mód leírását lásd az 5. fejezetben). Helyes-e a védelemnek ez a módja? 


2. Segít-e az előző problémán az, ha a lenyomatképzést a jól ismert lineáris 
CRC-vel (Cyclic Redundancy Code) végezzük? 
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Blokkrejtjelezési módok 


Egy blokkrejtjelező n bit hosszú nyílt szöveg blokkokat kódol n bit hosszú 
rejtjeles blokkokba. n tipikus értéke 64 vagy 128. Sok alkalmazásban en- 
nél jóval hosszabb (vagy rövidebb) üzeneteket szeretnénk rejtjelezni. Ezért 
szükségünk van olyan eljárásokra, melyek lehetővé teszik tetszőleges hosz- 
szúságú üzenetek kódolását egy n bites blokkrejtjelező segítségével. Ezeket 
az eljárásokat blokkrejtjelezési módoknak nevezzük. 

Hosszú üzenetek rejtjelezésére az első gondolatunk az lehet, hogy az üze- 
netet n bit hosszúságú blokkokra osztjuk, ezen blokkokat egymástól függet- 
lenül rejtjelezzük, majd az így nyert rejtjeles blokkokat egymás után fűzzük 
és így kapjuk a rejtjeles üzenetet. Az 5.1. alfejezetben részletesen ismertetjük 
ezt az eljárást, melyet ECB (Electronic Codebook) módnak neveznek. Látni 
fogjuk, hogy az ECB mód számos nemkívánatos tulajdonsággal rendelke- 
zik, ezért nem tanácsos hosszabb, több blokkból álló üzenetek rejtjelezésére 
használni. A gyakorlatban ezt a módot egy blokkból álló üzenetek (pl. kap- 
csolatkulcsok) rejtjelezésénél alkalmazzuk. 

Több blokkból álló üzenetek rejtjelezésére gyakran a CBC (Cipher Block 
Chaining) módot használjuk. Az ECB módhoz hasonlóan a nyílt üzenetet 
ebben a módban is n bit hosszúságú blokkokra osztjuk, de az ECB móddal 
ellentétben az így nyert blokkokat nem egymástól függetlenül rejtjelezzük. 
CBC módban az i-edik nyílt blokkot bitenként XOR-oljuk az (1 — 1)-edik 
rejtjeles blokkal, majd az eredményt rejtjelezve kapjuk az i-edik rejtjeles 
blokkot. Így az i-edik rejtjeles blokk értéke nemcsak az i-edik nyílt blokktól 
függ, hanem az előző rejtjeles blokktól is, és azon keresztül az összes előző 
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nyílt blokktól. Ennek a láncolási technikának számos előnye van, melyekről 
bővebben az 5.2. alfejezetben szólunk. 

Előfordulhat, hogy a nyílt üzenet hossza nem többszöröse a blokkrejtje- 
lező n blokkhosszának, ami azt jelenti, hogy az utolsó nyílt blokk hossza 
kisebb, mint n. Ebben az esetben CBC (és ECB) módban az utolsó nyílt 
blokkot ki kell egészíteni. Ezt az eljárást kitöltésnek (padding) nevezzük. A 
kitöltésnek természetesen olyannak kell lennie, hogy a rejtjeles üzenet dekó- 
dolása során egyértelműen felismerhető és eltávolítható legyen. Erre számos 
megoldás létezik, ezek közül néhányat az 5.2.2. alfejezetben ismertetünk. 

Interaktív alkalmazásokban (pl. távoli terminál) gyakran a blokkrejtjelező 
n blokkhosszánál sokkal rövidebb üzeneteket (biteket vagy pár bitből álló 
karaktereket) kell továbbítani, mégpedig olyan ütemben, ahogy az üzenetek 
keletkeznek. Ez azt jelenti, hogy a küldő nem tudja megvárni, hogy egy tel- 
jes blokkhosszt kitevő mennyisegű üzenet rendelkezésre álljon. Egyik meg- 
oldás, hogy minden rövid üzenetet kitöltünk, majd a kitöltött üizenetet ECB 
vagy CBC! módban rejtjelezzük. Ez azonban a sávszélesség felesleges pa- 
zarlásához vezet, hiszen az átküldött hasznos bitek száma csak töredéke a 
ténylegesen átküldött bitek számának. Ebben az esetben tehát a CBC mód 
nem elég hatékony, és helyette célravezetőbb a CFB (Cipher Feedback) az 
OFB (Output Feedback), vagy a CTR (Counter) módok valamelyikének al- 
kalmazása. Ezen módok közös jellemzője, hogy a blokkrejtjelezőt kulcsfo- 
lyamatos rejtjelezővé alakítják. Mindegyik módnak megvan a saját előnye és 
hátránya, ezekről bővebben az 5.3., az 5.4. és az 5.5. alfejezetekben szólunk. 

Léteznek még más blokkrejtjelezési módok is, de a fent említett öt mód 
(ECB, CBC, CFB, OFB és CTR) lefedi a gyakorlati alkalmazásokban elő- 
forduló problémák túlnyomó részét. Ezért ezeket a blokkrejtjelezési módokat 
szabványosították, és ajánlott ezen szabványos módok alkalmazása minden 
olyan esetben, amikor ez lehetséges. 


5.1. Az ECB mód 


ECB módban történő rejtjelezéskor, a nyílt üzenetet először kitöltjük, hogy 
mérete a blokkrejtjelező n blokkhosszának többszöröse legyen. Jelöljük a 
kitöltött nyílt üzenetet P-vel. Ezután P-t n bítes blokkokra osztjuk. Jelölje 
Pi, P,, . . ., Fv az így nyert nyílt blokkokat. Az i-edik rejtjeles blokkot, C-t, a 


! CBC mód esetén a kitöltött üzenetet XOR-oljuk az előző üzenethez tartozó rejtjeles blok- 
kal, majd az eredményt rejtjelezve kapjuk az aktuális üzenethez tartozó rejtjeles blokkot. 
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következőképpen kapjuk: 
CI EK(PR) i—1,2...N, 6.1 


ahol Ex jelöli a blokkrejtjelező kódoló függvényét a K kulccsal paraméte- 
rezve. A dekódolás hasonlóan egyszerű: 


P.—EZ(C) i—1,2,...,N, 6.2 


ahol Ex ! jelöli a blokkrejtjelező dekódoló függvényét a K kulccsal paramé- 
terezve (azaz az Ex függvény inverzét). 


Biztonság. A fenti kifejezésekből azonnal látszik, hogy azonos nyílt blok- 
kokhoz mindig azonos rejtjeles blokkok tartoznak (feltéve persze, hogy min- 
den blokk ugyanazzal a K kulccsal lett kódolva). Ez azt jelenti, hogy ha adott 
két különböző P és P" nyílt szöveghez tartózó C és C" rejtjeles szöveg, akkor 
egy támadó a K kulcs ismerete nélkül is azonosítani tudja P és P" egyforma 
blokkjait C és C" egyforma blokkjainak azonosításával. A legtöbb gyakor- 
lati alkalmazásban gyakran előforul, hogy különböző nyílt üzenetek azonos 
blokkokat tartalmaznak. Ez azért van, mert az üzenetek általában szabályos 
szerkezetűek, és sok redundanciát tartalmaznak (pl. gyakran ismétlődő fej- 
léc mezőket, nullák vagy szóköz karakterek hosszú láncát, stb.). Az ECB 
mód tehát nem rejti megfelelően a nyílt szövegben található mintákat, meg- 
könnyítve ezzel a támadó dolgát. 

Ha a támadó valamilyen módon nagy számú nyílt blokk — rejtjeles blokk 
párhoz jut, akkor ezekből egy szótárat (vagy kódkönyvet) építhet. Ezt a szó- 
tárat aztán később megfigyelt rejtjeles szövegek részleges dekódolásához 
használhatja a K kulcs ismerete nélkül. Ehhez olyan blokkokat kell keresnie 
a rejtjeles szövegben, amelyekhez már létezik bejegyzés a szótárban. Ezeket 
a blokkokat a szótár segítségével a támadó dekódolni tudja. 

További probléma, hogy egy rejtjeles üzenet blokkjai egymással tetszőle- 
ges módon felcserélhetők, törölhetők vagy más rejtjeles üzenetekből kimá- 
solt blokkokkal helyettesíthetők. Az ECB mód nem teszi lehetővé az ilyen 
jellegű blokkcserék, törlések és helyettesítések megbízható detektálását, mi- 
vel a rejtjeles blokkok nem függnek a szomszédos blokkoktól. 

Bár a fent említett problémák a nyílt üzenet rejtjelezés előtti ti 
és integritásvédelmi mechanizmusok (pl. kriptográfiai ellenőrzőösszeg) al- 
kalmazásával enyhíthetők, az ECB mód mégsem javasolt egynél több blokk- 
ból álló nyílt üzenet rejtjelezésére. Helyette a következő alfejezetben ismer- 
tetett CBC mód használata ajánlott. 
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Hatékonyság. Az ECB mód előnye, hogy a kódolás és dekódolás sebessége 
megegyezik a blokkrejtjelező sebességével, valamint az, hogy a kódolás és 
a dekódolás is párhuzamosítható. Továbbá, az ECB mód lehetővé teszi a 
nyílt blokkokhoz történő véletlen hozzáférést a rejtjeles szövegben. Ez azt 
jelenti, hogy a rejtjeles szöveg tetszőleges sorszámú blokkját dekódolni tud- 
juk a többi blokk dekódolása nélkül, sőt a dekódolt blokk módosítása, majd 
újrakódolása sem érinti a többi blokkot. Ez igen előnyös tulajdonság például 
adatbázisfájlok rejtjelezésénél, ami a rekordok hatékony lekérdezését és mó- 
dosítását teszi lehetővé. 


Hibaterjedési tulajdonságok. A biztonsággal és hatékonysággal kapcsolatos 
tulajdonságok mellett meg szokták még említeni egy adott blokkrejtjelezési 
mód ún. hibaterjedési tulajdonságait. Egészen pontosan arra vagyunk kíván- 
csiak, hogy a rejtjeles üzenet átvitele során keletkezett egy bites hibának 
milyen hatása van a dekódolt nyílt üzenetre. Az egy bites hiba lehet egy bit 
értékének változása, valamint egy bit törlése vagy beszúrása a rejtjeles üze- 
netbe. Az utóbbit kerethibának (framing error) nevezzük. 

ECB mód esetén a rejtjeles szöveg egy bitjének megváltozása csak a bi- 
tet tartalmazó rejtjeles blokkhoz tartozó nyílt blokkra van hatással, mégpe- 
dig oly módon, hogy az adott nyílt blokk teljes egészében használhatatlan 
pénzfeldobás sorozattá válik (a blokk minden bitje 1/2 valószínűséggel lesz 
helyes dekódolás után). Ezzel szemben egy bit beszúrása vagy törlése a hiba 
helye után található blokkhatárok elcsúszását eredményezi (innen a kerethiba 
elnevezés), és íly módon hatással van a beszúrást, illetve törlést tartalmazó 
rejtjeles blokkhoz tartozó nyílt blokkra és az összes azt követő nyílt blokkra 
is. Ezek a blokkok használhatatlan pénzfeldobás sorozattá válnak. 


5.2. A CBC mód 


A CBC mód működését az 5.1 és az 5.2. ábra szemlélteti. Az 5.1. ábra a 
kódolást, az 5.2. ábra pedig a dekódolást ábrázolja. Az ECB módhoz ha- 
sonlóan a kódoláshoz a kitöltött nyílt üzenetet n bit hosszúságú blokkokra 
osztjuk. Ezután az i-edik rejtjeles blokkot úgy állítjuk elő, hogy az i-edik 
nyílt blokkot XOR-oljuk az (i— 1)-edik rejtjeles blokkal, majd az eredményt 
kódoljuk a blokkrejtjelezővel. A dekódolásnál az i-edik rejtjeles blokkot de- 
kódoljuk, majd az eredményt XOR-oljuk az (i— 1)-edik rejtjeles blokkal, és 
így kapjuk az i-edik nyílt blokkot. 

Jelölje ismét Pi, P), . . . , Py a nyílt blokkokat, és C1,C2, ..., Cw a rejtjeles 
blokkokat. A kódolást tehát a következőképpen írhatjuk le formálisan: 
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Ci — Ex(R.EIV) (5.3) 
C- EK(BOC1) 1—23,...N, 6.4) 
ahol Ex jelöli a blokkrejtjelező K kulccsal paraméterezett kódoló függvé- 
nyét, € a bitenkénti KOR művelet, és /V egy kezdeti változó (initializing va- 
riable). Az /V kezdeti vátozó az előző rejtjeles blokk szerepét tölti be az első 


nyílt blokk kódolásánál, ahol még nem áll rendelkezésre egy valódi előző 
rejtjeles blokk. A dekódolás képlete a következő: 


P.— Eg (C)eIv (5.5) 
PB-EZ(CYOC-i 1—2,3,...,N, (5.6) 


ahol Eg! jelöli a blokkrejtjelező K kulccsal paraméterezett dekódoló függ- 
vényét. 





5.2. ábra. Dekódolás CBC módban 
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Mint látható, az első blokk dekódolásánál szükség van /V-re, így gondos- 
kodni kell ennek a vevőhöz történő eljuttatásáról. Ez megoldható úgy, hogy 
IV-t ECB módban rejtjelezzük, majd a kódolt /V-t az átküldött rejtjeles üze- 
net elé csatoljuk. IV rejtjelezéséhez ugyanazt a kulcsot használjuk, mint az 
üzenet rejtjelezéséhez. A vevő először /V-t dekódolja, majd ennek ismereté- 
ben a rejtjeles üzenetből (5.5) és (5.6) szerint visszaállítja a nyílt üzenetet. 

Valójában /V titkossága nem követelmény, ügyelni kell azonban /V in- 
tegritásának védelmére. Erre azért van szükség, mert (5.5) szerint /V értéke 
közvetlen hatással van az első visszaállított nyílt blokkra. /V bitjeinek módo- 
sításával tehát egy támadó az első nyílt blokk adott bitjeit manipulálni (inver- 
tálni) tudja. A rejtjelezés alkalmazása ezt megakadályozza, mert a rejtjelezett 
IV módosítása a támadó által nem predikálható változásokat eredményez a 
dekódolt /V-ben, és így a visszaállított első nyílt blokkban is. 


5.2.1. A CBC mód tulajdonságai 


Biztonság. A CBC mód egyik legfontosabb tulajdonsága, hogy a C; rejtje- 
les blokk értéke nemcsak a B) nyílt blokktól függ, hanem az azt megelőző 
B. 1, B.-2, : .., Pi blokkoktól és /V-től is2. Ez (5.3) és (5.4) felhasználásával 
a következő módon adódik: 


C; — Exk(R OC. 1) (5.7) 
— Ex(ROEKx(B. 1 EC. 2)) 


- Exk(POExk(R-10...Ex(R EIV)...)). 


Ennek a tuljadonságának több kedvező hatása is van. Egyrészt azonos 
nyílt blokkokhoz nagy valószínűséggel különböző rejtjeles blokkok tartoz- 
nak. Ez akkor is igaz, ha az azonos nyílt blokkok egy nyílt üzenet részei, és 
akkoris, ha két különböző nyílt üzenethez tartoznak. Pontosabban, ha két kü- 
lönböző P és P" nyílt üzenetben valamely P, és Pj blokkok azonosak, akkor az 
ezen blokkokhoz tartozó C; és C) rejtjeles blokkok nagy valószínűséggel csak 
akkor lesznek azonosak, ha i — j és minden k — 1,2,... ,(— 1 esetén Pp — Pj, 
valamint /V — IV" (azaz P és P" minden i-nél kisebb sorszámú blokkja, va- 
lamint a két kezdeti változó értéke is megegyezik). Ebből az is látszik, hogy 
ha teljesen azonos nyílt üzeneteket különböző /V-t alkalmazva rejtjelezünk, 


2 Meg kell azonban jegyezni, hogy ez a függés csak az előző rejtjeles blokkon, C;.1-en 
keresztül valósul meg. 
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akkor különböző rejtjeles üzenetekhez jutunk. /V üzenetenkénti változtatása 
megoldható /V véletlen módon történő generálásával, vagy egy sorozatszám 
IV-ként történő használatával. 

A CBC mód egy másik kedvező tulajdonsága, hogy a C;.1 blokk P;-hez 
történő XOR-olása növeli a blokkrejtjelező bemenetének entrópiáját, és ez- 
zel nehezebbé teszi a kriptanalítikus támadásokat. Az entrópia-növekedést az 
okozza, hogy a blokkrejtjelező tulajdonságaiból adódóan a rejtjeles blokkok 
a támadó számára lényegében pénzfeldobás sorozatok. 

Az ECB móddal ellentétben, a CBC mód korlátozott mértékben lehető- 
séget nyújt a rejtjeles blokkok felcserélésének, törlésének és beszúrásának 
detektálására. Ez azért van, mert egy C; rejtjeles blokkot csak akkor lehet 
helyesen dekódolni, ha azt a helyes Cj;. 1 blokk előzi meg. Két blokk, Ci; és 
C) átvitel során történő felcserélésekor azonban C; dekódolásánál Cj.1-et 
használja a vevő. Az így eredményül kapott Eg (C)) ECj-i egy pénzfeldo- 
bás sorozat lesz, amit a vevő könnyen kiszűrhet mint egy várt struktúrától 
való durva eltérést. Meg kell azonban jegyezni, hogy a nyílt üzenet maga 
is tartalmazhat véletlen blokkokat (pl. egy véletlen módon generált tranzak- 
ció azonosítót), ezért a véletlen blokkok detektálására alapozott integritás- 
védelem nem mindig megbízható. Általában is igaz, hogy ha az alkalmazás 
megkívánja az üzenetek integritásának védelmét, akkor erre a célra speciális 
integritásvédő mechanizmusokat (lásd 6. fejezet) ajánlott használni, és nem 
tanácsos kizárólag a CBC mód által nyújtotta lehetőségekre hagyatkozni. 

Ehhez kapcsolódóan említjük meg az úgynevezett ,:kivág-és-beszúr" (cut- 
and-paste) támadást CBC módban rejtjelezett üzenetek ellen. Legyen P — 
PilPol...1Pw és P" — PiIPól. . .IPw két nyílt üzenet. Mindkettőt ugyanazzal a 
K kulccsal (de nem feltétlenül ugyanazzal a kezdeti változóval) CBC mód- 
ban rejtjelezve kapjuk a C — CiIC2l-.-ICw és a C — CIC: - - IC rejtjeles 
üzeneteket. Egy támadó C-ből kivágja a j-től k-ig (I £ j Sk SM) terjedő 
blokkokat, és a kivágott blokksorozatot beszúrja C-be az i-edik és (i-H1)- 
edik blokkok közé. Az eredményül kapott Cr... ICIC/1- . . IGICia-11 - -  ICw 
üzenetet dekódolva a vevő a Pi... IRileIPjyal- IPA1Pi2]- - - IPw nyílt üze- 
netet állítja vissza, ahol a x pénzfeldobás sorozatból álló véletlen blokkokat 
jelöl. Ha az adott pozíciókban a véletlen blokkok megengedettek, akkor a 
vevő elfogadja a támadó által fabrikált üzenetet. 

A CBC mód egy ismert gyengesége a következő: Ha két rejtjeles blokk, 
C; és C; megegyezik, akkor (5.4) használatával kapjuk, hogy 


C-10C)-17BREPj. (5.8) 
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Mivel a támadó C;. 1-et és Cj. rret ismeri, ezért (5.8) alapján két nyílt blokk 
XOR összegére vonatkozóan jut információhoz. Innen a nyílt üzenetek re- 
dundanciáját felhasználva, a támadó sikerrel kísérelheti meg P, és Pj meg- 
fejtését. A gyakorlatban ennek a támadásnak az szab korlátot, hogy a : rejtje- 
les blokkok egyenletes eloszlásúak, ezért annak a valószínűsége, hogy kettő 
megegyezik, a születésnapi paradoxon alapján becsülhető. A támadás akkor 
hatékony, ha a megfigyelt rejtjeles blokkok száma 2? nagyságrendjébe esik. 
A tipikus n — 64 esetben ez több gigabájt adat megfigyelését igényli. 


Hatékonyság. A CBC módban történő kódolás és dekódolás sebessége lé- 
nyegében megegyezik a blokkrejtjelező sebességével, mert a blokkonként 
végrehajtott XOR művelet által okozott késleltetés elhanyagolható a blokk- 
rejtjelezéséhez szükséges időhöz képest. A CBC mód hátránya, hogy a kó- 
dolás nem párhuzamosítható. Egy másik hátrány, hogy egy nyílt blokk mó- 
dosítása az összes őt követő blokk újrakódolását igényli. Ezzel szemben a 
dekódolás párhuzamosítható és egy nyílt blokkhoz történő módosítás nélküli 
hozzáférés (olvasás) nem érinti a többi blokkot. Az ECB móddal ellentétben 
tehát a nyílt blokkokhoz történő véletlen hozzáférés a rejtjeles szövegben 
csak olvasás esetén hatékony. 


Hibaterjedési tulajdonságok. Ha a rejtjeles üzenet átvitele során az i-edik 
rejtjeles blokk j-edik bitje megváltozik, akkor ez hatással lesz az i-edik és az 
(i-t 1)-edik nyílt blokk visszaállítására. Egészen pontosan az i-edik visszaál- 
lított nyílt blokk pénzfeldobás sorozat lesz, míg az (i-t 1)-edik visszaállított 
nyílt blokkban csak a j-edik bit lesz hibás. Az (i-t- 2)-edik nyílt blokkra a 
hiba hatása már nem terjed ki. Az egy bithibából való felépülés képességét 
önszinkronizációnak is nevezzük. A CBC mód tehát ebben az értelemben 
önszinkronizáló. 

A CBC mód azon tulajdonságát, hogy az i-edik rejtjeles blokk j-edik bit- 
jének megváltoztatása az (i-t 1)-edik visszaállított nyílt blokkban csak a j- 
edik bit megváltozását eredményezi, egy támadó bizonyos esetekben siker- 
rel használhatja ki egy adott nyílt blokk bitjeinek manipulálására. Ezért még 
egyszer kihangsúlyozzuk a kriptográfiai integritásvédő mechanizmusok al- 
kalmazásának szükségességét. 

Az ECB módhoz hasonlóan egy bit elvesztése vagy beszúrása. a rejtje- 
les üzenetből, illetve üzenetbe a blokkhatárok elcsúszását eredményezi, és 
a hiba helyétől kezdve minden visszaállított nyílt blokk használhatatlanná 
válik. Bitvesztésből és -beszúrásból tehát nem áll helyre a rendszer. 
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5.2.2. Üzenetek kitöltése (padding) 


Előfordulhat, hogy a rejtjelezni kívánt nyílt üzenet bítekben mért hossza nem 
többszöröse a rejtjelező n blokkhosszának. Ekkor az üzenetet ki kell tölteni 
néhány további bit hozzáadásával oly módon, hogy a kitöltéssel együtt az 
üzenet hossza n többszöröse legyen. Ez sok esetben csak az utolsó, csonka 
blokk kitöltését jelenti, de néha egy teljes blokk hozzáadásával is járhat. Sőt, 
vannak olyan kitöltési sémák is, melyek több, véletlenszámú blokkot is hoz- 
záadnak az üzenethez kitöltésként, ezzel próbálva az üzenet valódi hosszát 
elrejteni egy forgalmat analizáló támadó elől. 

Akármennyi bitet is alkalmazunk kitöltésként, egy dolgot minden esetben 
biztosítani kell: a vevőnek képesnek kell lennie a kitöltésként alkalmazott bi- 
tek azonosítására, majd azok eltávolításával az eredeti nyílt üzenet visszaál- 
lítására. Ennek elérése érdekében sok kitöltő sémában a kitöltés utolsó bájtja 
a kitöltés hosszára vonatkozó információt tartalmaz. Ezen sémák használata 
esetén minden üzenetnek tartalmaznia kell kitöltést, még azoknak is, ame- 
lyek hossza n többszöröse. Ha ugyanis megengednénk olyan üzeneteket, me- 
lyek nem tartalmaznak kitöltést, akkor egy adott üzenet vétele esetén a vevő 
nem tudná egyértelműen megállapítani, hogy az üzenet tartalmaz-e kitöltést 
vagy sem. Ha viszont megköveteljük, hogy minden üzenet tartalmazzon ki- 
töltést, akkor ilyen probléma nem lép fel. 

A továbbiakban néhány a gyakorlatban előforduló kitöltési sémát ismer- 
tetünk. Feltesszük, hogy minden üzenet 8 bites bájtokból áll, és n — 8b, azaz 
a rejtjelező blokkhossza b bájt. 


5.1. Algoritmus. Legyen a rejtjelezni kívánt utolsó nyílt blokk hossza £ bájt 
(1 c £ £ b). Ha t c b, akkor az utolsó blokkot b — £ darab b—£— 1 értékű 
bájttal egészítjük ki. Ha £ — b, akkor egy teljes blokkot hozzáadunk az üze- 
nethez, és a hozzáadott blokk minden bájtjának értékét b — 1-re állítjuk. 


Az 5.1. algoritmusnak megfelelő helyes kitöltések például a következő 
bájtsorozatok: 00 vagy 01101 vagy 02102102 stb. Hibás kitöltésnek szá- 
mít például a01102102 bájtsorozat. Helyes kitöltés esetén tehát az utolsó 
dekódolt blokk utolsó bájtja a további (az utolsó bájtot megelőző) kitöltő 
bájtok számát tartalmazza. A kitöltés ellenőrzéséhez a vevő a következőt te- 
szi: ha az utolsó bájt k, akkor ellenőrzi, hogy az utolsó bájtot megelőző k 
bájt értéké k. Ha a kitöltés helyes, akkor az utolsó k-- 1 bájt eltávolításával 
állítható vissza az eredeti üzenet. 
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A fenti séma változatai, mikor a kitöltő bájtok mindegyike 00 értékű, 
vagy mikor a kitöltés a 001011 ...15b—£—1 bájtsorozat. Az utolsó bájt, 
csakúgy mint az alapváltozatban, a kitöltés hosszát tartalmazza. 

Az5.1. algoritmus által definiált kitöltő séma mindig megnöveli az üzenet 
hosszát. Néhány alkalmazásban ez nincs megengedve, és arra van szükség, 
hogy a rejtjeles üzenet hossza pontosan megegyezzen a nyílt üzenet hosszá- 
val (pl. pontosan ugyanarra a memóriaterületré szeretnénk visszaírni, ahol 
előzőleg a nyílt üzenetet tároltuk). Ekkor alkalmazható a következő algorit- 
mus: 


5.2. Algoritmus. Legyen a rejtjelezni kívánt utolsó nyílt blokk hossza £ bit 
(1 £ £ £ n). Ha £ — n (az utolsó blokk egy teljes blokk), akkor nem csinálunk 
semmit. Ha £( a n (az utolsó blokk egy csonka blokk), akkor az utolsó teljes 
blokkhoz tartozó Cw.- 1 rejtjeles blokkot újra kódoljuk, majd az eredményül 
kapott Ex(Cw-1) blokk első £ bitjét XOR-oljuk az utolsó, csonka nyílt blokk 
£ bitjével, és így kapjuk az utolsó, csonka rejtjeles blokkot. 


Az 5.2. algoritmus egy gyengesége, hogy egy támadó manipulálni (in- 
vertálni) tudja az utolsó, csonka, visszaállított nyílt blokk bitjeit az utolsó, 
csonka rejtjeles blokk bitjeinek megváltoztatásával. A következő algoritmust 
használva ez a veszély nem áll fenn, mert a nyílt üzenet minden bitje keresz- 
tül megy az Ex rejtjelező függvényen. 


5.3. Algoritmus. Jelöljük az utolsó, teljes nyílt blokkot Pv. 1-gyel, valamint 
az utolsó, csonka nyílt blokkot p-vel. Legyen p hossza £ bit, ahol £ c n. Az 
utolsó, teljes rejtjeles blokkot, Cy.1-et és az utolsó, csonka rejtjeles blokkot, 
c-t, a következő módon állítjuk elő: 


V — Ex(Pw-10Cw-2), (5.9) 
Cw-i — Ex((pl2) EV), (5.10) 
c V első bitje, (5.11) 


ahol z egy n— £ hosszú csupa 0 bitet tartalmazó bitsorozat. A dekódolás a 
következő módon történik: 


W — Eg (Cw-1) e (cl2), (5.12) 
w — W utolsó n — £ bitje, (5.13) 
p— W első £ bitje, (5.14) 


Pw-i — Eg (clw) 0Cw-2- (5.15) 
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Most belátjuk, hogy a dekódoló algoritmus helyesen működik. Jelöljük V 
utolsó n — £ bitjét v-vel. Ekkor (5.11) alapján V — c]v. Cw-i (5.10) definíció- 
ját (5.12) kifejezésbe helyettesítve kapjuk, hogy 


w — Eg (Cw-1) e (cz) 
7 (pld eve (cz) 
7 (plJe (cv) e (cz) 
z (pEcoAllzevez) 
— plv. 


Innen következik, hogy W első £ bitje valóban p, továbbá w — v. Ez utóbbit 
felhasználva kapjuk, hogy 


Eg (clw) BCw-2 — Eg (clv) PCw-2 
— Eg (V) OCw-2 
— Pv-1 0Cw-2 PCw-2 
7 Pw-1- 


5.2.3. "Vaudenay támadása 


Tegyük fel, hogy valamely alkalmazás CBC módú rejtjelezést és az 5.1. al- 
goritmusban leírt kitöltési sémák valamelyikét használja. Mikor a vevő kap 
egy rejtjeles üzenetet, akkor dekódolja azt, majd ellenőrzi, hogy a kitöltés 
helyes-e. Az ellenőrzés eredményétől függően a vevő folytatja az üzenet 
további feldolgozását, vagy eldobja az üzenetet. Sok esetben a vevő visel- 
kedése megfigyelhető egy külső támadó számára is. A támadó ezt kihasz- 
nálhatja rejtjeles üzenetek megfejtésére a kulcs ismerete nélkül. A módszert 
Serge Vaudenay publikálta 2002-ben. 


5.1. Példa. A web trarizakciók védelmére gyakran alkalmazott TLS 1.0 pro- 
tokoll CBC módú rejtjelezést és az 5.1. algoritmusban leírt kitöltési sémát 
használja. Tegyük fel, hogy egy támadó egy véletlen módon generált üzene- 
tet küld egy TLS szervernek. A szerver megpróbálja az üzenetet CBC mód- 
ban dekódolni. Ha a dekódolt üzenetben a kitöltés hibás, akkor a szerver a 
DECRYPTION. FAILEDhibaüzenettel válaszol. Ha a kitöltés helyes, a szer- 
ver folytatja az üzenet feldolgozását a kitöltés eltávolításával és az üzenet- 
hitelesítő kód (MAC) ellenőrzésével. Az üzenet véletlen volta miatt a MAC 
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majdnem biztosan hibás lesz, és a szerver a BAD RECORD MAC hibaüze- 
nettel válaszol. A szerver hibaüzeneteiből tehát a támadó következtetni tud 
arra, hogy az adott véletlen üzenet dekódolása helyes kitöltést eredményez, 
vagy sem. 2 


A vevő (pl. egy TLS szerver) viselkedését úgy modellezzük, hogy fel- 
tesszük, hogy a támadó rendelkezésére áll egy orákulum, amely minden neki 
küldött üzenetet dekódolni próbál egy adott X kulccsal CBC módban, majd 
egy 1 bites választ ad a támadónak, ahol a válasz értéke attól függ, hogy 
a dekódolt üzenetben a kitöltés helyes volt-e, vagy sem. A támadás során 
a támadó többszöri orákulumhívással annyi információt gyűjt, ami lehetővé 
teszi a célüzenet teljes megfejtését. 

Megjegyezzük, hogy a támadás nemcsak a CBC mód tulajdonságait hasz- 
nálja ki, hanem a rejtjelezés előtt alkalmazott kitöltés tulajdonságait is. Így 
a támadás nem minden típusú kitöltés esetén használható. Ez azonban nem 
csökkenti a jelentőségét, már csak azért sem, mert számos, a gyakorlatban 
elterjedt kitöltés esetén (pl. az SSL/TLS vagy az IPSec protokollokban hasz- 
nált kitöltési sémák esetén) nagyszerűen működik. Mi az 5.1. algoritmusban 
leírt kitöltési sémát feltételezve magyarázzuk el a támadást. 

A továbbiakban feltesszük, hogy a blokkrejtjelező blokkhossza 8 bájt (n — 
64 bit). Megjegyezzük azonban, hogy ez a feltevés nem korlátozó abban az 
értelemben, hogy a Vaudenay-féle támadás tetszőleges blokkhossz esetén ki- 
vitelezhető. 


Az utolsó bájt(ok) megfejtése. Adott egy Y — Ex(X) rejtjeles blokk, ahol 
Y — yilyal:..lyg és X — xx]. . . hg, mindkettő 8 hosszú bájtsorozat. Szeret- 
nénk X utolsó bájtját, xg-at megfejteni a K kulcs ismerete nélkül. Ezt a kö- 
vetkezőképpen tehetjük meg: Választunk egy véletlen generált bájtokból álló 
R— rilral...Irs blokkot, majd elküldjük az R]Y két blokkból álló üzenetet 
az orákulumnak. Az orákulum ezt egy CBC módban rejtjelezett üzenetnek 
fogja fel, és megpróbálja dekódolni. (5.6) alapján a visszaállított nyílt üzenet 
utolsó blokkja X ER — xi Erih2 Ero]... ]xg € re lesz. Az orákulum ellen- 
őrzi, hogy az X ER blokk helyes kitöltést tartalmaz-e, és az eredménynek 
megfelelő egy bites választ ad. Ha a kitöltés hibás, akkor rg-at megváltoz- 
tatjuk, és újra próbálkozunk. Ezt addig ismételjük, amíg az orákulum végül 
helyes kitöltést jelez. Ekkor tudjuk, hogy X ER végződése csakis 00 vagy 
01101 vagy 02102102 ... lehet. Mivel az R véletlen választott bájtokból 
áll, ezért ezen lehetséges esetek közül a 00 végződés a legvalószínűbb (a 


5. Blokkrejtjelezési módok 129 


klkl . . . Ik végződés valószínűsége 278(kt1)). Mikor tehát az orákulum helyes 
kitöltést jelez, tudjuk hogy xg € rg nagy valószínűséggel 00, azaz xg — rg. 

Természetesen előfordulhat, hogy a kisebb valószínűségű események va- 
lamelyike következik be, azaz az X ER utolsó bájtja mégsem 00. Néhány to- 
vábbi orákulumhívással azonban könnyen megállapítható a kitöltés k hossza. 
Tegyük fel tehát, hogy tudjuk, hogy X ER helyes kitöltést tartalmaz, de nem 
tudjuk pontosan, hogy mi is az a kitöltés. Először ri-et módosítjuk, majd az 
így nyert R/IY üzenettel újra meghívjuk az orákulumot. Ha az orákulum to- 
vábbra is azt jelzi, hogy X € R" helyes kitöltést tartalmaz, akkor az első bájt 
nem lehet része a kitöltésnek. Ekkor r2-t módosítjuk, és újra meghívjuk az 
orákulumot. Ha még mindig helyes a kitöltés, akkor az rz-at módosítjuk, és 
így tovább. Ezt addig folytatjuk, még végül az orákulum azt jelzi, hogy a 
kitöltés hibás. Tegyük fel, hogy ez az R j-edik bájtjának módosításánál kö- 
vetkezik be. Ekkor tudjuk, hogy X ER j-edik bájtja a kitöltés első bájtja, 
azaz k — 8 — j. Innen következik, hogy xj Orjlxj4 10 rja] - : . bg E re 
JI8— jl...18— j, vagyis xjbxjal..bs— (8— j) erjl(8—J) Erjaal--.1(8— 
JET. 


5.2. Példa. Tegyük fel, hogy X — DEJADIBEIEFIDEIADÍBEIEF És 
R-01123145167IDDIAEIBDIEC. Ekkor XOER— DFIBEIFBI881 
03103103103 helyes kitöltést tartalmaz. Az 5.1. táblázat azt mutatja, hogy 
ri, r2, ... egymás utáni megváltoztatásával hogyan deríthető ki a kitöltés 
hossza. A táblázat j-edik sora a j-edik bájt megváltoztatásával kialakult 
helyzetet mutatja. Mint látható, az 5. sorban az X ER" blokk által tartal- 
mazott kitöltés hibássá válik. Innen tehát tudjuk, hogy XER 5. bájtja a 
kitöltés első bájtja, azaz X ER a 03103103103 bájtsorozattal végződik. 
Mivel tudjuk, hogy R a DDI AE I BDI EC bájtsorozattal végződik, ezért meg- 
állapíthatjuk, hogy xslxekkzbe — 03DDI036€AEI103EBDI03 EEC — 
DEIADIÍBEIEF. 4 





Az utolsó bájt(ok) megfejtését végző eljárást a következőképpen foglal- 
hatjuk össze: 


5.4. Algoritmus. Adott egy Y — Ex(X) rejtjeles blokk. Az algoritmus meg- 
fejti X utolsó néhány bájtját (a legtöbb esetben egyet, ha szerencsénk van 
többet is) a X kulcs ismerete nélkül. Ehhez egy € orákulumot használ, mely 
minden neki küldött üzenetet CBC módban dekódol a K kulccsal, majd egy 
1 bites választ ad. Ő válasza 1, ha a dekódolt üzenetben a kitöltés helyes, és 
0, ha a kitöltés hibás. Az algoritmus lépései a következők: 
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Ba XeR 

00123145I67IDDIAEIBDIEC DEIBEIFBI88103103103103 
00I22145I67IDDIAEIBDIEC DEIB8EIFBI88103103103103 
00122144167IDDIAEIBDIEC DEIB8FIEAI88103103103103 
00122144166IDDIAEIBDIEC DEIBFIFAI89103103103103 
00122144]66IDCIAEIBDIEC DEIBFIFAI89102103103103 





5-- e ela 





5.1. táblázat. Az 6 orákulum által adott válasz az RY hívásra R" különböző értékei 
esetén. Ha a dekódolt üzenet kitöltése helyes, akkor a válasz 1, ellenkező esetben 0 


. Válasszunk 8 véletlen bájtot, ezeket jelöljük ri , . . . , g-cal. Legyen i — 0. 
. LegyenR —rilral. .. rzI(rs ei). 
. Ha Ó(RIY) — 0, akkor legyen i — i -- I, és folytassuk a 2. lépéssel. 
. Legyenrg— reg Oi. 
. j7 1-től 7-ig ismételjük a következő lépéseket: 
(a) Legyen R"— ri]... Irj e 1]... Ir. 
(b) Ha 0(RIY) — 0, akkor álljunk meg. Az algoritmus eredménye: 
xjbxjaal-.-ba — (8— j) erjl(8— j) Erj4al:..1(8— J) Eg. 
6. Álljunk meg. Az algoritmus eredménye: xg — rg. 


nu Run 


Egy teljes blokk megfejtése. Adott egy Y — Ex(X) rejtjeles blokk, ahol Y — 
yib2l:-.lys és X — xilx2]... bg. Az 5.4. algoritmus segítségével X utolsó 
(néhány) bájtját meg tudjuk fejteni. Tegyük fel tehát, hogy Xj,Xj4.1, . . . , Xg 
értékét ismerjük valamely 1 c j £ 8 esetén. Ezt felhasználva szeretnénk Xx..1 
értékét meghatározni. Nyilván, ha ezt meg tudjuk tenni, akkor az eljárást 
ismételve végül X minden bájtját meg tudjuk fejteni. 

Az előzőekhez hasonlóan most is két blokkból álló üzenetekkel hívjuk 
meg az orákulumot, ahol az első blokk egy általunk választott R blokk, a 
második blokk pedig Y. Vegyük észre, hogy mivel X utolsó 9 — j bájtja is- 
mert, R-et pedig mi választjuk, ezért az orákulum által visszaállított nyílt 
szöveg utolsó blokkja (X € R) utolsó 9 — j bájtjának értékét teljes mértékben 
befolyásolni tudjuk. A módszer lényege tehát az lesz, hogy ezen 9— j bájt 
értékét (9 — j)-re állítjuk, majd a ( j— 1)-edik bájtot addig változtatjuk (rj-i 
változtatásával), míg az orákulum helyes kitöltést nem jelez. Ez pontosan ak- 
kor történik meg, mikor xj. ; Prj.1 is a9— j értéket veszi fel. Innen kapjuk, 
hogy xj-1 — (9— j) Orj-1. 
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5.3. Példa. Előző példánkat folytatva tegyük fel, hogy X — DEJADIBEI 
EF IDEI ADI BEI EF, és tudjuk, hogy xslxcbezhkg — DEIADIBEIEF.R első 
három bájtját tetszőlegesen választjuk, r4-et pedig 00-ra állítjuk. Legyen pél- 
dául rilralyzlr4—01123145100.R utolsó négy bájtját a következő módon 
választjuk: rslrelrzlya — 04€DEIO4 GADIO4EBEIO048EF—DAIA9I 
BAJEB. Ezzel a beállítással X OR értéke DFIBEIFBIEFI041041041 
04 lesz, tehát az R]Y üzenetre az orákulum hibás kitöltést jelez. Ezután r4 
értékét addig változtatjuk, amíg az orákulum végül helyes kitöltést jelez. Ezt 
az 5.2. táblázat szemlélteti. Példánkban ez r4 — EB esetén következik be. 
Ekkor tehát tudjuk, hogy xs € EB — 04, ahonnan xy, — 040EB-EF. d 





TETSZ XER 
01123145I100IDAIA9IBAIEB DFIBEIFBIEE104104104104 
OLI23145IOLIDAIA9IBAIEB DFIBEIFBIEEI04104104104 





Sola 


OLI23145IEBIDAIA9JIBAIEB  DFIBSEIFBIO4IO4104104104 1 





5.2. táblázat. Az 6 orákulum által adott válasz az RIY hívásra ra különböző értékei 
esetén. Ha a dekódolt üzenet kitöltése helyes, akkor a válasz 1, ellenkező esetben 0 


A teljes blokk megfejtését végző eljárást így foglalhatjuk össze: 
5.5. Algoritmus. Adott Y — Ex(X) rejtjeles blokk, ahol Y — yily2]- . - lya és 
X — xi la]... ]xs. Tegyük fel, hogy xj,Xj41, . . .,xg értékét ismerjük valamely 
1 c j £ 8 esetén. Az algoritmus ezt felhasználva meghatározza xj. 1 értékét, 
ugyanazt az Ő orákulumot használva, mint az 5.4. algoritmus. Az algoritmus 
lépései a következők: 
1. Legyen rjlrjaal...Ir— (9— j) exjl(9— j) Dxjsal...I(9— j) E x8- 
2. Legyen rilr2]. . . Irj-2 tetszőleges, és legyen rj.1 — 00. 
3. Legyen R— ri]... [rj— a]: - - [r8- 
4. Ha 6(RIY) — 0, akkor legyen rj. 1 — rj-1-t 1, és folytassuk a 3. lépéssel. 
5. Álljunk meg. Az algoritmus eredménye: xj.1— rj-16 (9— j). 


Egy teljes üzenet megfejtése. Adott egy N blokkból álló C1IC2]- - . ICw rejt- 
jeles üzenet, melyet egy PilP2l...IPw nyílt üzenetből CBC módban történt 
rejtjelezéssel állítottak elő, egy X kulcsot és egy /V kezdeti változót hasz- 
nálva. A BP; (i 5 1) nyílt blokkot a következőképpen állíthatjuk elő a K kulcs 


132 II. Kriptográfiai alapprotokollok 


ismerete nélkül: először C;-t dekódoljuk az 5.4. és az 5.5. algoritmusok segít- 
ségével, majd az eredményt XOR-oljuk C;. 1-gyel. A Pi blokkot csak akkor 
tudjuk megfejteni, ha /V-t ismerjük. Ha IV-t ECB módban a K kulccsal rejt- 
jelezték, és a rejtjeles üzenethez csatolták, akkor /V is megfejthető az 5.4. és 
az 5.5. algoritmusok segítségével. 


A támadás komplexitása. Az 5.4. és az 5.5. algoritmusok mindegyikének 
végrehajtása átlagosan 128 orákulumhívást igényel. Egy blokk dekódolo- 
lásához az 5.4. algoritmust egyszer, az 5.5. algoritmust pedig nagy való- 
színűséggel hétszer kell végrehajtani. Így egy blokk dekódolása átlagosan 
8 : 128 — 1024 orákulum hívást igényel. Egy N blokkból álló üzenet megfej- 
téséhez tehát átlagosan 1024 -N orákulum hívásra van szükség. Ez azt jelenti, 
hogy a módszer nagyon hatékony. 


A támadás kiküszöbölése. A támadás több módon is kivédhető. Egyik mód- 
szer lehet például a vevő viselkedésének rejtése. Ennek egyik módja, ha a 
vevő nem küld hibaüzeneteket, vagy ha hibaüzeneteket küld, akkor azokat 
rejtjelezi, és a válaszidejét véletlenné teszi. Utóbbira azért van szükség, mert 
a kitöltés ellenőrzése biztosan rövidebb ideig tart, mint az azt általában kö- 
vető üzenetintegritás-ellenőrzés. Így, még ha a hibaüzenetek rejtjelezve is 
vannak, a vevő válaszidejének méréséből a támadó következtetni tud arra, 
hogy hibás kitöltést jelző hibaüzenetről vagy az üzenetintegritás sérülését 
jelző hibaüzenetről van szó. Utóbbi esetben a támadó tudja, hogy a dekódolt 
üzenetben a kitöltés helyes volt. 

Egy másik módszer a támadás meghiúsítására egy olyan kitöltési séma al- 
kalmazása, amely esetén a támadás nem működik. Ilyen például az a séma, 
ahol a kitöltő bájtokat véletlen módon választjuk, és az utolsó bájt jelzi a 
kitöltés hosszát. Ennél a sémánál pusztán a kitöltés vizsgálatával nem lehet 
eldönteni, hogy a kitöltés helyes-e, ezért a vevő sosem küld olyan hibaüze- 
netet, ami hibás kitöltést jelez. 

Végül a legbiztosabb módszer a támadás elkerülésére, ha az üzenethite- 
lesség ellenőrzése mindig megelőzi a kitöltés ellenőrzését. A támadó által 
fabrikált üzenetek ugyanis majdnem biztosan nem mennek át a hitelesítési 
eljáráson, és így a vevő mindig olyan hibaüzenettel válaszol, ami az üzenet- 
hitelesség sérülését jelzi. Ez tehát azt jelenti, hogy először kell a nyílt üzene- 
tet kitölteni, és utána kell a már kitöltött üzeneten az üzenethitelesítő kódot 
(MAC) számolni. A nyílt üzenet biztonságos formátuma tehát a következő: 
nyílt üzenet I kitöltés I MAC(nyílt üzenet I kitöltés). 
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5.3. A CFB mód 


Vannak olyan alkalmazások, melyekben a rejtjelező blokkhosszánál rövi- 
debb üzeneteket (pl. karaktereket vagy akár biteket) kell rejtjelezni. Ráadá- 
sul az alkalmazás késleltetésre vontakozó követelményei olyanok lehetnek, 
hogy a küldőnek nincs ideje megvárni, míg e rövid üzenetekből összegyűlik 
egy blokkra való. Rövid üzenetenként egy blokkot elküldeni pazarló lenne, 
így a CBC mód nem jöhet szóba. Szeretnénk viszont továbbra is valamilyen 
CBC-hez hasonló láncolási technikát alkalmazni, mely segíti az üzenetek 
sorrendhelyes vételét és az üzenetek visszajátszásának detektálását. A meg- 
oldás a CFB mód alkalmazása. 

A CFB mód működését az 5.3. ábra szemlélteti. Tegyük fel, hogy s bites 
karaktereket szeretnénk rejtjelezni. Ekkor az i-edik karakter p; rejtjelezésé- 
hez egy n bites belső shift-regiszter tartalmát rejtjelezzük a blokkrejtjelező- 
vel, majd az eredmény első s bitjét XOR-oljuk pi bitjeivel, és így kapjuk 
az i-edik rejtjeles karaktert, c;-t. Ezt egyfelől elküldjük a vevőnek, másfelől 
jobbról beléptetjük a shift-regiszterbe. A következő karakter rejtjelezésekor 
tehát már a shift-regiszter új tartalmát fogjuk rejtjelezni. A dekódolás hason- 
lóan történik. A shift-regiszter aktuális tartalmát rejtjelezzük, majd az ered- 
mény első s bitjét XOR-oljuk a c; rejtjeles karakter bitjeivel, és így kapjuk 
vissza a pi nyílt karaktert. Ezután ci-t jobbról beléptetjük a shift-regiszterbe. 
Figyeljük meg, hogy a kódolásnál és a dekódolásnál is a blokkrejtjelező Ek 
kódoló függvényét használjuk. Vegyük észre továbbá, hogy a rendszer lé- 
nyegében egy önszinkronizáló, kulcsfolyamatos rejtjelezőként működik. 


shift-regiszter (x) 











5.3. ábra. Kódolás és dekódolás CFB módban 
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Mielőtt az első karaktert kódolnánk, a shift-regisztert fel kell tölteni egy 
kezdeti értékkel, amit a CBC módhoz hasonlóan itt is /V-nek nevezünk. Az 
első rejtjeles karakter dekódolásához a vevőnek is szüksége van a küldő által 
használt /V-re, így azt valamilyen módon el kell juttatni a vevőhöz. Mivel 
CFB módban az /V a rejtjelező függvényen keresztül lép be a folyamatba, 
ezért az IV nyíltan is elküldhető a vevőnek. Egyrészt az /V ismerete nem 
segíti a támadót, mert a blokkrejtjelező által használt K kulcs nélkül úgysem 
tudja megfejteni az üzenetet. Vegyük észre, hogy a shift-regiszter tartalma 
úgyis ismertté válik a támadó számára az első n/s karakter feldolgozása után, 
hiszen a támadó által is megfigyelhető rejtjeles karaktereket léptetjük be a 
shift-regiszterbe. A rendszer biztonsága tehát nem a shift-regiszter állapotá- 
nak titokban tartására épül, és ez a kezdeti állapotra éppen úgy igaz, mint 
a későbbi állapotokra. Másrészt a blokkrejtjelező tulajdonságai miatt, az IV 
bitjeinek módosítása a támadó által nem predikálható változásokat eredmé- 
nyez az első (és esetleg néhány további) visszaállított nyílt karakterben. A 
támadó tehát az /V manipulálásával nem tudja a nyílt szöveg kiválasztott 
bitjeit manipulálni. 

Az IV vevőhöz történő eljuttatásának legegyszerűbb módja az, amikor a 
küldő az üzenet karakterei előtt, nyíltan küldi el az /V-t a vevőnek. A vevő 
nem alkalmaz külön eljárást az /V feldolgozására, hanem ugyanazt a dekó- 
doló algoritmust futtatja, mint a rejtjeles karakterek vételénél. Így a vevő 
karakterenként lépteti be az /V-t a shift-regiszterébe. A dekódoló kimene- 
tén eközben generálódó karaktereket a vevő eldobja. Mire az első rejtjeles 
karakter megérkezik, a vevő shift-regisztere már helyes állapotban van, és 
így a rejtjeles karakter dekódolása sikeres lesz. Ez az eljárás a CFB mód ön- 
szinkronizáló tulajdonságát használja ki, azaz azt, hogy n/s rejtjeles karakter 
helyes vétele után a dekódoló helyes állapotba kerül, függetlenül attól, hogy 
milyen állapotban volt a karakterek vétele előtt. 

Megjegyezzük, hogy bár a CFB mód bevezetését a rövid üzenetek rejtjele- 
zésének képessége motiválta, semmi nem szól az ellen, hogy teljes blokkok 
rejtjelezésére is használjuk. Más szóval, lehetséges az s — n eset. Ekkor az 
ECB és CBC módok mintájára, a CFB kódoló működését a következő mó- 
don írhatjuk le: 


Ci — PP GEK(IV), (5.16) 
C—BGEK(C-1) i—23,.-... (5.17) 


A dekódoló működését pedig a következő egyenletek definiálják: 
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Pi — Ci 6 Ex(IV), (5.18) 
P,—- GOEK(Ci-1) 1-2,3,.... (5.19) 


Biztonság. A CFB mód hasonló láncolási tulajdonságokkal rendelkezik, 
mint a CBC mód: az i-edik rejtjeles karakter értéke nemcsak az i-edik nyílt 
karaktertől függ, hanem az összes azt megelőző nyílt karaktertől és az 1V- 
től is. Ez a függés azonban csak az előző n/s rejtjeles karakteren keresztül 
valósul meg. Ez tehát azt jelenti, hogy egy adott rejtjeles karakter helyes 
dekódolásához elegendő a megelőző n/s rejtjeles karakter helyes értékének 
ismerete. Mindenesetre, ha két azonos nyílt szöveget különböző /V-ket al- 
kalmazva rejtjelezünk, akkor a rejtjeles szövegek különbözők lesznek. To- 
vábbá, rejtjeles karakterek módosítása, törlése, beszúrása és felcserélése a 
hiba helye után (mindaddig amíg a hibás karakterek a shift-regiszterben jelen 
vannak) pénzfeldobás sorozatokól álló nyílt karakterek visszaállítását ered- 
ményezi, tehát sok esetben detektálható. 


Hatékonyság. CFB módban a kódolás és a dekódolás sebessége a blokkrejt- 
jelező sebességének s/n-szerese. Ez s — n esetén egyenlőséget jelent, s € n 
esetén viszont a CFB módú kódolás sebessége kisebb, mint a blokkrejtjelező 
sebessége, ami egyszerűen abból adódik, hogy a blokkrejtjelező kimeneté- 
nek csak töredék részét használjuk. A CBC módhoz hasonlóan a dekódolás 
CFB módban is párhuzamosítható, a kódolás viszont nem. Tetszőleges rejtje- 
les karaktert dekódolni lehet a többi karakter dekódolása nélkül, ha viszont a 
dekódolt karaktert módosítani is akarjuk, akkor az összes őt követő karaktert 
újra kell rejtjelezni. A nyílt karakterekhez való véletlen hozzáférés a rejtjeles 
szövegben tehát csak olvasás esetén hatékony. 


Hibaterjedési tulajdonságok. Tegyük fel, hogy egy rejtjeles karakter egy 
bitje megváltozik. Mivel a hibás rejtjeles karakter bekerül a shift-regiszterbe, 
a hiba hatása kiterjed, és mindaddig érezhető lesz, amíg a hibás karakter a 
shift-regiszterben van. Egészen pontosan, a j-edik bit hibája egy rejtjeles 
karakterben a j-edik bit hibáját okozza az adott rejtjeles karakterből vissza- 
állított nyílt karakterben, az azt követő n/s visszaállított nyílt karakter pe- 
dig használhatatlan pénzfeldobás sorozat lesz. Egy támadó tehát egy adott 
nyílt karakter bitjeit manipulálni tudja, bár az adott karaktert követően meg- 
jelenő véletlen karakterek azonosítása a támadás detektálásához vezethet. 
A véletlen karakterek azonban lehet, hogy túl későn érkeznek, és addigra 
a támadó már elérte a célját. Továbbá, az utolsó átküldött karakter mindig 
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támadható, mert azt nem követi semmi, amiből a támadásra következtetni 
lehetne. 

CFB mód használata esetén bitvesztésből és -beszúrásból származó hibák- 
ból is felépül a rendszer, mert a hiba után érkező helyes karakterek , kitolják" 
a hibát a shift-regiszterből, és n/s lépés után visszaáll a helyes állapot. 


5.4. Az OFB mód 


A CFB mód hátránya, hogy egy egy bites hiba a rejtjeles szövegben több 
dekódolt karaktert tesz használhatatlanná. Előfordulhat, hogy az alkalmazás 
jellege nem teszi lehetővé ezen hibák dekódolás előtti javítását (pl. a vett 
karaktereket azonnal fel kell dolgozni, de nem hatékony minden átküldött 
rejtjeles karakterhez hibajavítást lehetővé tevő redundáns biteket csatolni). 
Ezért ebben az esetben, ha a bithiba valószínűsége nagy (azaz a csatorna Za- 
jos), akkor a CFB mód nem használható. Ilyenkor OFB vagy CTR módot 
használhatunk. Ezen módok egyik közös jellemezője, hogy a blokkrejtjele- 
zőt egy szinkron kulcsfolyamatos rejtjelzővé alakítják, melyben a rejtjelező 
belső állapota (a shift-regiszter tartalma) nem függ sem a nyílt, sem a rejtje- 
les karakterektől, és így egy rejtjeles karakterben bekövetkező bithiba hatása 
nem terjed ki más karakterekre. 

Az OFB mód működését az 5.4. ábra szemlélteti. Az ábrán a kódolás 
vázlata látható. Mivel szinkron kulcsfolyamatos rejtjelezők esetében a de- 
kódolás sémája megegyezik a kódolással (csupán annyi a különbség, hogy 








5.4. ábra. Kódolás OFB módban. A dekódolás ugyanilyen séma szerint történik, 
csak a rejtjeles karakterek lépnek be, és a nyílt karakterek lépnek ki 
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a bemeneten rejtjeles karakterek lépnek be, és a kimeneten nyílt karakterek 
jönnek ki), ezért a dekódoló működését sem OFB sem CTR mód esetén nem 
illusztráljuk külön ábrán. 

Az OFB kódoló vázlata feltűnő hasonlóságot mutat a CFB kódoló vázlatá- 
val. A két rendszer között annyi a különbség, hogy OFB esetén nem a rejtje- 
les karakter van visszacsatolva, hanem a blokkrejtjelező kimenete (pontosab- 
ban általános esetben a kimenet egy része). Az i-edik nyílt karakter, p; rejtje- 
lezése tehát a CFB módhoz hasonlóan történik: a shift-regiszter aktuális tar- 
talmát rejtjelezzük, majd az eredmény első s bitjét XOR-oljuk p;-vel (mely- 
ről feltesszük, hogy szintén s bites), és így kapjuk az i-edik rejtjeles karaktert, 
ci-t. Ezután a blokkrejtjelező kimenetének egy részét (tipikusan ugyanazt az 
s bitet, melyet p;-hez XOR-oltunk) beléptetjük a shift-regiszterbe. Dekódo- 
lásnál ugyanez történik: a shift-regiszter aktuális tartalmát rejtjelezzük, majd 
az eredmény első s bitjét XOR-oljuk c-vel, és így kapjuk vissza p;-t. Ezután 
a blokkrejtjelező kimenetének egy részét (ugyanazt a részt mint kódolásnál) 
beléptetjük a shift-regiszterbe. 

A CFB módhoz hasonlóan, az első karakter kódolása és dekódolása előtt 
a shift-regisztereket égy kezdeti értékkel (/V) kell feltölteni. 

A visszacsatolás mérete nem feltétlenül kell, hogy megegyezzen a karak- 
terek s méretével. Sőt, alább látni fogjuk, hogy tanácsos a blokkrejtjelező 
teljes n bites kimenetét visszacsatolni, mert ez nagymértékben megnöveli a 
generált kulcsfolyam periódusát. Az n bites OFB működését a következő 
formulák írják le: 


Xi; — Ex(X-1), (5.20) 
xi; — X; első s bitje, (5.21) 
Ci — PID Xi, (5.22) 
PI 7 GOXi, (5.23) 


ahol 1 — 1, 2, ... és Xg — IV. 


Biztonság. Az IV titkosságát nem kell biztosítani. Ügyelni kell azonban arra, 
hogy minden nyílt üzenet (ahol üzenet alatt most egy karaktersorozatot ér- 
tünk) kódolásához különböző /V-t használjunk. Ellenkező esetben mindkét 
nyílt üzenetet pontosan ugyanazzal a kulcsfolyammal fogjuk kódolni, és egy 
támadó a két rejtjeles üzenetet egymással XOR-olva a nyílt üzenetek XOR 
összegét kapja, melyből az üzenetek redundanciáját ismerve sikerrel kísérel- 
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heti meg az üzenetek megfejtését. Az /V-k különbözőségét például úgy lehet 
biztosítani, hogy az üzenetek sorszámát hasznájuk /V-nek. 

A CFB móddal ellentétben, az OFB mód esetén az i-edik rejtjeles karakter 
értéke csak az i-edik nyílt karaktertől (és a shift-regiszter tartalmától) függ. 
Ennek ellenére, a CFB módhoz hasonlóan, a rejtjeles karakterek törlését, 
beszúrását és sorrendjének megváltoztatását korlátozott mértékben mégis 
detektálni lehet. Ez azért van, mert egy karakter helyes visszaállításához a 
shift-regiszter tartalmának meg kell egyeznie a karakter kódolásánál hasz- 
nált shift-regiszter tartalommal. Ha azonban c;-t felcseréljük cj-vel, akkor c; 
dekódolásánál a shift-regiszter tartalma a cj előállításánál használt tartalom 
lesz. Ebből kifolyólag a c;-ből visszaállított nyílt karakter bitjei pénzfeldobás 
sorozatot alkotnak. 

Ha a visszacsatolt bitek száma pontosan n, akkor (5.20) alapján a shift- 
regiszter X; állapotára az X; — f(X;. 1) teljesül, ahol f egy permutáció. Ebben 
az esetben egy véletlen Xg állapotból indulva, a generált Xg, X1, X2, . . . álla- 
potsorozat periódusának hossza egyforma valószínűséggel lesz 1,2, .. . , 27. 
Az átlagos periódushossz tehát 277. 

Ezzel szemben, ha a visszacsatolt bitek száma kisebb, mint n, akkor a 
shift-regiszter X; állapotára továbbra is az X; — f(X;-1) teljesül, de könnyen 
látható, hogy ekkor f nem permutáció. Ebben az esetben az analízis bo- 
nyolultabb. Az egyszerűség kedvéért ezért f-et úgy modellezzük mint egy 
véletlen függvényt. Ebben a modellben f mindaddig véletlen módon vá- 
lasztja a következő állapotot, amíg egy már előfordult állapot újra fel nem 
bukkan. Ekkor az átlagos periódushosszt a születésnapi paradoxon alapján 
tudjuk megbecsülni. Mivel az f függvény minden lépésben 2" lehetséges ál- 
lapot közül választ, ezért 27 lépés után 2-nél nagyobb valószínűséggel olyan 
állapotot választ, ami egyszer már előfordult. Így a generátor átlagos perió- 
dushosszára a 2? körüli becslés adható. A hosszabb periódus elérése érdeké- 
ben tehát tanácsos a blokkrejtjelező teljes kimenetét visszacsatolni. 





Hatékonyság. A CFB módhoz hasonlóan, a kódolás és dekódolás sebessége 
a blokkrejtjelező sebességének s/n-szerese. Míg CFB módban a c; rejtjeles 
karakter dekódolásához elegendő a C; ,./s, Cj-n/s41s - : s Ci—i rejtjeles karak- 
tereket beléptetni a shift-regiszterbe, addig OFB mód esetén az /V-ből in- 
dulva elő kell állítani a c; kódolásánál használt shift-regiszter tartalmat. Ezt 
nem lehet párhuzamosítani, ezért a CFB móddal ellentétben, sem a kódo- 
lás, sem a dekódolás nem párhuzamosítható. Ugyanakkor, mivel a generált 
kulcsfolyam nem függ a nyílt szövegtől, ezért az off-line módon előre kiszá- 
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míitható még mielőtt a nyílt szöveg rendelkezésre állna. Ez nagymértékben 
gyorsíthatja a kódolás és dekódolás műveletét. A megfelelő shift-regiszter 
állapot elérése után tetszőleges rejtjeles karakter dekódolható, módosítható 
és újrakódolható a többi karakter változtatása nélkül. Az OFB mód tehát tá- 
mogatja a nyílt karakterekhez való véletlen hozzáférést a rejtjeles szövegben, 
mind olvasás, mind írás esetén. 


Hibaterjedési tulajdonságok. Mint az már említettük, a CFB móddal ellen- 
tétben, az OFB mód nem terjeszti ki a rejtjeles szövegben keletkezett bíthi- 
bát több visszaállított nyílt karakterre. Egy rejtjeles karaker j-edik bitjének 
változása csak a visszaállított nyílt karakter j-edik bitjére van hatással. Ez 
egyfelől előny, mert az OFB módot zajos átviteli csatorna esetén is használ- 
hatóvá teszi. Másrészt viszont hátrány, mert egy támadó a visszaállított nyílt 
szöveg bitjeit manipulálni tudja a megfelelő rejtjeles bitek módosításával. 

Bitvesztésből és -beszúrásból származó hibából nem épül fel a rendszer, 
mert a hiba helyét követően a karakterhatárok elcsúsznak, és minden további 
karakter hibásan áll vissza. Ezért OFB mód használata esetén speciális újra- 
szinkronizáló pontokat (markereket) kell beiktatni a karakterfolyamba, me- 
lyek lehetővé teszik a szinkronból történt esetleges kiesésekből való felépü- 
lést. 


5.5. A CTR mód 


A CTR mód működése nagyon hasonlít az OFB módhoz. A különbség annyi, 
hogy nincs visszacsatolás, helyette a shift-regiszter által tárolt értéket min- 
den lépésben eggyel növeljük. Ezt úgy is felfoghatjuk, mintha egy számláló 
aktuális értékét rejtjeleznénk a blokkrejtjelezővel. A CTR mód működését 
az 5.5. ábrán szemléltetjük. 

A működés hasonlóságából fakadóan a CTR mód tulajdonságai nagyban 
hasonlítanak az OFB mód tulajdonságaihoz. Ezért itt most csak a lényeges 
különbségekre térünk ki. 


Biztonság. CTR mód esetén a generátor periódusát könnyű megállapítani, 
hiszen azt a számláló mérete határozza meg. n bites számláló esetében a 
periódushossz 2". A biztonsággal kapcsolatos többi tulajdonság megegyezik 
az OFB mód tulajdonságaival. 


Hatékonyság. Az OFB móddal ellentétben, CTR módban mind a kódolás, 
mind a dekódolás párhuzamosítható, hiszen az i-edik karakter feldolgozásá- 
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számláló 





5.5. ábra. Kódolás CTR módban. A dekódolás ugyanilyen séma szerint történik, 
csak a rejtjeles karakterek lépnek be, és a nyílt karakterek lépnek ki 


hoz szükséges shift-regiszter tartalmat a számláló értékének megfelelő be- 
állításával azonnal elő tudjuk állítani. A hatékonysággal kapcsolatos többi 
tulajdonság megegyezik az OFB mód tulajdonságaival. 


5.6. Összefoglalás 


Az egyes blokkrejtjelezési módok előnyeit és hátrányait a következőképpen 
foglalhatjuk össze: 


ECB mód 





biztonság: 

— a nyílt szöveg mintáit nem rejti megfelelően 

— a blokkrejtjelező bemenete nem randomizált 

— szótár (kódkönyv) alapú támadás lehetséges 

— a rejtjeles blokkok felcserélhetők, törölhetők, helyettesíthetők 
hatékonyság: 

-4 a sebesség megegyezik a blokkrejtjelező sebességével 

4 a kódolás és a dekódolás is párhuzamosítható 

2 nyílt blokkokhoz (pl. adatbázis rekordokhoz) való véletlen hozzáférés 

olvasás és írás esetén is 

— nem lehet előzetes off-line számításokkal gyorsítani 
hibaterjedés: 

— egy bithiba a rejtjeles szövegben egy egész nyílt blokkot érint 

— bitbeszúrásból vagy -törlésből származó hibából nem épül fel 
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CBC mód 





biztonság: 
-- a nyílt szöveg mintáit rejti az előző rejtjeles blokkal való XOR-olás 
-4  ablokkrejtjelező bemenetét randomizálja az előző rejtjeles blokkal 
való XOR-olás 
-k azonos nyílt szövegeket különböző /V-vel rejtjelezve különböző 
rejtjeles szövegeket kapunk 
4 korlátozott mértékben detektálni lehet a rejtjeles blokkok 
felcserélését, törlését, helyettesítését 
— kivág-és-beszúr támadások lehetségesek 
— azonos rejtjeles blokkokhoz tartozó nyílt blokkok XOR összegét 
felfedi 
"Vaudenay-féle támadásra adhat lehetőséget 
hatékonyság: 
4 a sebesség lényegében megegyezik a blokkrejtjelező sebességével 
—/4- . a kódolás nem párhuzamosítható / a dekódolás párhuzamosítható 
4/— nyílt szöveg blokkokhoz való véletlen hozzáférés csak olvasás esetén 
— ——— nem lehet előzetes off-line számításokkal gyorsítani 
hibaterjedés: 
— egy bithiba a rejtjeles szövegben hatással van egy teljes, nyílt szöveg- 
blokkra és egy bitre a következő blokkban 
— bitbeszúrásból vagy -törlésből származó hibából nem épül fel 


CFB mód 





biztonság: 
- a nyílt szöveg mintáit rejti 
-4 — ablokkrejtjelező bemente véletlen 
-4 azonos nyílt szövegeket különböző /V-vel rejtjelezve kül nböző 
rejtjeles szövegeket kapunk 
-4- korlátozott mértékben detektálni lehet a rejtjeles karakterek 
felcserélését, törlését, helyettesítését 
utolsó karakter bitjei manipulálhatók 
hatékonyság: 
— a sebesség a blokkrejtjelező sebességének s/n-szerese 
—/4-  akódolás nem párhuzamosítható / a dekódolás párhuzamosítható 
4/— nyílt karakterekhez való véletlen hozzáférés csak olvasás esetén 
ta aj előzetes off-line számítás korlátozott mértékben lehetséges 
(shift-regiszter tartalmát rejtjelezni Láss a következő rejtjelezendő 
karakter beérkezése előtt) 
hibaterjedés: 
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— egy bit hiba a rejtjeles szövegben n/s -- 1 visszaállított karaktert érint, 
amiből n/s használhatatlan pénzfeldobás sorozattá válik 
4 bitbeszúrásból vagy -törlésből származó hibából is felépül 


OFB/CTR mód 





biztonság: 
5.zi a nyílt szöveg mintáit rejti 
ke azonos nyílt szövegeket különböző /V-vel rejtjelezve különböző 
rejtjeles szövegeket kapunk 
- különböző nyílt szövegeket azonos /V-vel rejtjelezve a nyílt 
szövegek megfejthetőek 
-/— korlátozott mértékben detektálni lehet a rejtjeles karakterek 
felcserélését, törlését, helyettesítését, de nem olyan mértékben, 
mint CFB mód esetén (a korlátozott hibaterjedés miatt) 
- OFB módban n-nél kevesebb bites visszacsatolás esetén a generátor 
periódushossza jelentősen csökken 
-t  — CTR módban a generátor periódushossza a számláló méretétől függ 
- a visszaállított nyílt karakterek bitjei manipulálhatók 
hatékonyság: 
- a kódolás és dekódolás sebessége a blokkrejtjelező sebességének 
s/n-szerese 
Fk a kulcsfolyam előzetes off-line számításával a működés gyorsítható 
—/4-  OFB módban a kódolás nem párhuzamosítható, 
a dekódolás párhuzamosítható 
4 —— CTR módban a kódolás és a dekódolás is párhuzamosítható 
ae nyílt karakterekhez való véletlen hozzáférés olvasás és írás esetén is 
hibaterjedés: 
4 egy bithiba a rejtjeles szövegben egy bithibát generál a visszaállított 
nyílt szövegben 
— bitbeszúrásból vagy -törlésből származó hibából nem épül fel 


5.7. Feladatok 


5.1. Feladat. Az 5.6. ábra egy blokkrejtjelező (pl. DES) használatát mutatja 
PCBC (Plain and Cipher Block Chaining) módban. 


1. Adja meg a dekódoló sémáját! 


2. Tegyük fel, hogy a C; és C;4 1 blokkokat egy támadó felcseréli egymással. 
Mutassa meg, hogy ennek csak a P; és P;4 1 nyílt blokkokra van hatása! 


3. Önszinkronizáló-e a PCBC mód? Miért? 
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5.6. ábra. Blokkrejtjelező használata PCBC módban 


5.2. Feladat. Tekintsük a DES OFB módját. Ez a mód kulcsfolyamos rejtje- 
lezést valósít meg. Fontos, hogy a kulcsfolyam ciklusa nagy legyen. Mekkora 
ezen ciklus várható értéke, ha a visszacsatolt bitek m számára 

1. m — 64 (azaz a teljes blokkméret vissza van csatolva), 

2. m c 64? 

Milyen következtetést vonna le a kapott értékekből? 

Segítség: (1) Modellezze a rejtjelezést, mint 64 bites blokkok egy véletlen 
permutációját. (2) Modellezze a rejtjelezést, mint egy véletlen függvényt a 
64 bites állapotok halmazán, s alkalmazza a születésnapi paradoxont. 


5.3. Feladat. Véletlen bithibázású csatornán rejtjelezetten továbbítjuk üze- 
netünket CBC blokkrejtjelező módban. A véletlen hibázás ellen hibajavító 
kódolást alkalmazunk. Végezzük ezt a kódolást a rejtjelezést megelőzően. 


1. Helyesen járunk-e el a fenti módon a hibák javításával kapcsolatosan? 
2. Mi a válasza, ha CBC mód helyett OFB módban rejtjelezünk? 


6. 


Üzenethitelesítés 


Az üzenethitelesítés feladata akommunikációs csatornán átküldött üzenetek 
hitelességének és integritásának biztosítása. Pontosabban, az üzenethitele- 
sítés lehetővé teszi az üzenet vevője számára a küldő identitásának ellen- 
őrzését és az átvitel során az üzenetben bekövetkezett változások (melyek 
származhatnak véletlen hibából vagy szándékos módosításból) detektálását. 

Az üzenethitelesítést leggyakrabban üzenethitelesítő kódok (Message 
Authentication Code — MAC) alkalmazásával valósítjuk meg. Egy üzenethi- 
telesítő kódra gondolhatunk úgy, mint egy kriptográfiai ellenőrző összegre, 
amit a küldő az üzenet elküldése előtt kiszámít és az üzenethez csatol. A 
csatornán átvitelre kerül az üzenet és az üzenet ellenőrző összege is. A vevő 
mindkettőt veszi, majd ellenőrzi az ellenőrző összeget. Ha az ellenőrzés si- 
kerrel jár, akkor a vevő meg lehet győződve arról, hogy az üzenet sértet- 
len és valóban a vélt (pl. az üzenetben megjelölt) feladó küldte. Ellenkező 
esetben, az üzenet integritása az átvitel során megsérült, és mivel ez lehet 
rosszindulatú módosítás következménye is, ezért a vevő nem fogadja el az 
üzenetet. 

Formáját és funkcióját tekintve tehát egy üzenethitelesítő kód valamiféle 
hibadetektáló kódhoz (pl. CRC) hasonlítható. Van azonban egy nagyon fon- 
tos különbség az üzenethitelesítő és a hibadetektáló kódok között. Neveze- 
tesen, a hibadetektáló kódok csak a zajos csatornán bekövetkezett véletlen 
hibák detektálására alkalmasak, és nem képesek egy rosszindulatú támadó 
által végrehajtott szándékos módosítások detektálására. Ez egyszerűen azért 
van, mert a támadó az üzenet módosítása után a módosított üzenethez ki 
tudja számolni az új hibadetektáló kódot. A vevő tehát a módosított üzenetet 
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és a hozzátartozó helyes hibadetektáló kódot kapja meg, és így nem veszi 

észre a módosítást. 

Ezzel szemben az üzenethitelesítő kódok nemcsak a véletlen hibákat, ha- 
nem a rosszindulatú módosításokat is képesek detektálni. Ezen képességük 
abból adódik, hogy a hibadetektáló kóddal ellentétben, az üzenethitelesítő 
kód értéke nemcsak magától az üzenettől függ, hanem egy a küldő és a 
vevő által megosztott titkos információtól (kulcstól) is. A támadó ezen ti- 
tok hiányában nem tudja kiszámítani a módosított üzenethez tartozó helyes 
üzenethitelesítő kódot, és így a módosítás nem maradhat észrevétlen. Ezen 
túlmenően a vevő tudja, hogy helyes üzenethitelesítő kód kiszámítására csak 
a küldő (és természetesen maga a vevő) alkalmas. Ezért meg lehet győződve 
arról, hogy minden helyes üzenethitelesítő kóddal vett (és nem saját magától 
származó) üzenet csakis a küldőtől származhat. 

A fenti gondolatok az üzenethitelesítés következő modelljéhez vezetnek: 
Az A küldő és a B vevő rendelkezik egy közös Kaz kulccsal. Kap-t rajtuk 
kívül más nem ismeri. Az m üzenet elküldése előtt A kiszámolja az m-hez 
tartozó HL — MACk4 (m) üzenethitelesítő kódot, ahol MACK a Kap kulccsal 
paraméterezett üzenethitelesítő függvény. A továbbiakban a 4 üzenethitele- 
sítő kódot röviden MAC értéknek, a MACk,, üzenethitelesítő függvényt pe- 
dig röviden MAC függvénynek fogjuk nevezni. A elküldi, B pedig megkapja 
a MAC értékkel kiegészített m]u üzenetet. Kag ismeretében B kiszámolja 
MACk4(m)-et, és az eredményt összehasonlítja 4-vel. Egyenlőség esetén B 
elfogadja az üzenetet, ellenkező esetben eldobja azt. 

A MAC fügvénnyel szemben az alábbi követelményeket támasztjuk: 

1. A MACK függvény olyan szűkítő transzformáció legyen, mely tetszőleges 
hosszúságú üzeneteket fix hosszúságú, n bites MAC értékbe képez. 

2. AK kulcs ismeretében tetszőleges m üzenethez könnyű legyen kiszámolni 
MACk(m)-et. 

3. A K kulcs ismeretének hiányában viszont legyen MACk(m) kiszámítása 
nehéz feladat, még akkor is, ha nagy számú (mi, MACk(mi;)) pár áll ren- 
delkezésre, ahol természetesen m €£ (m;). 

4. A K kulcs meghatározása legyen nehéz feladat még nagy számú (m;, 
MACk(m;)) pár ismerete esetén is. 

Megjegyezzük, hogy ha egy MAC függvény eleget tesz a 3. követelmény- 

nek, akkor kielégíti a 4. követelményt is. Ha ugyanis a 4. követelményt nem 

elégítené ki, akkor egy támadó meg tudná határozni a K kulcsot és annak is- 
meretében tetszőleges üzenethez tudna MAC értéket generálni, azaz a MAC 
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függvény nem elégíthetné ki a 3. követelményt sem. Fordítva azonban nem 
áll fenn az implikáció, ugyanis elméletileg elképzelhető, hogy a K kulcs is- 
merete nem szükséges ahhoz, hogy egy üzenethez helyes MAC értéket ge- 
neráljon a támadó. Erre a 6.1. és 6.2. alfejezetben látunk majd példákat. 

Az 1. és a 2. követelmény a hash függvényekhez hasonló tulajdonságokat 
követel meg a MAC függvénytől. Tulajdonképpen a MAC függvényt úgy 
is felfoghatjuk mint egy kulcsvezérelt hash függvényt. Figyeljük meg azon- 
ban, hogy a MAC függvénnyel szemben támasztott további követelmények 
különböznek a hash függvények egyirányúságra vagy ütközésmentességre 
vonatkozó követelményeitől. Mindenesetre a hash függvényekhez való ha- 
sonlatosság ötletet adhat hash függvényekre épülő MAC függvények konst- 
ruálására. Ezt a tervezési lehetőséget a 6.2. alfejezetben mutatjuk be részle- 
tesebben. Előtte azt vizsgáljuk meg, hogy egy CBC módban használt blokk- 
rejtjelezőből hogyan lehet MAC függvényt építeni, és ez milyen veszélyek- 
kel járhat. 


6.1. A CBC MAC 


A blokkrejtjelező egy alapvető kriptográfiai primitív, melyet sok protokoll- 
ban használunk építőelemként. A 4.3.2. szakaszban láttuk, hogy hogyan le- 
het blokkrejtjelezőből hash függvényt konstruálni. Mivel a MAC függvények 
sokban hasonlítanak a hash függvényekhez, ezért az a gondolatunk támad- 
hat, hogy blokkrejtjelezőből építünk MAC függvényt. Természetesen abban 
reménykedünk, hogy az így nyert MAC függvény biztonságát az alkalma- 
zott blokkrejtjelező biztonságára tudjuk visszavezetni. Ennek a gondolatnak 
a legelterjedtebb megtestesítője az ún. CBC-MAC konstrukció. 

A CBC-MAC függvény működésének gyors megértéséhez képzeljük el, 
hogy az üzenetet CBC módban rejtjelezzük egy blokkrejtjelezővel (lásd 5.2. 
alfejezet), azzal a módosítással, hogy a rejtjeles blokkokat az utolsó kivételé- 
vel mind eldobjuk. A MAC függvény kimenete az utolsó rejtjeles blokk lesz. 

A CBC-MAC pontos működését a következőképpen írhatjuk le: Adott egy 
m üzenet és egy K kulcs, ahol a K mérete megegyezik a használni kívánt 
blokkrejtjelező kulcsméretével. Az m üzenetet először kiegészítjük, hogy 
mérete a blokkrejtjelező n blokkméretének többszöröse legyen. Mivel magát 
az m-et is el fogjuk küldeni a vevőnek, ezért a kitöltés lehet nagyon egy- 
szerű, például az üzenet megfelelő számú 0 bittel történő kiegészítése. Je- 
löljük a kiegészített üzenetet P-vel. P-t n bites blokkokra osztjuk, melyeket 
P,, P;, . . .Pw-nel jelölünk. Legyen IV — 0 (azaz a csupa 0 bitből álló blokk). 
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A CBC mód működését definiáló (5.3) és (5.4) kifejezések, valamint a meg- 
adott /V és K felhasználásával számítsuk ki az utolsó rejtjeles blokkot, Cw-t. 
Ez lesz a CBC-MAC függvény kimenete, azaz MACg(m) — Cw. Ha rendel- 
kezésre áll egy K" / K másik kulcs is, akkor a MAC függvény kimenetére 
opcionálisan nem Cyy-et vezetjük, hanem Ex(Ex (Cw))-et, ahol E jelöli a 
blokkrejtjelező kódoló, E7! pedig a dekódoló függvényét. 

Tekintsük most át a MAC függvénnyel szemben támasztott követelmé- 
nyek listáját. A CBC-MAC függvény tetszőleges méretű üzenethez egy n 
bites MAC értéket generál, ahol n az alkalmazott blokkrejtjelező blokkmé- 
rete. A K kulcs ismeretében a MAC számítása egyszerű, a CBC kódolással 
megegyező módon történik. A K kulcs meghatározása megfigyelt üzenet — 
MAC párokból lényegében a blokkrejtjelező feltörését jelenti, tehát megfe- 
lelő erősségű blokkrejtjelező esetén ez biztosan nehéz feladat. Hasonlókép- 
pen nehéznek tűnik a MAC meghatározása egy adott üzenethez, ha a kulcs 
nem ismert. 

A CBC-MAC elleni támadások lehetősége a CBC mód gyengeségeiben 
rejlik. Nevezetesen, ha adott két nyílt szöveg, P és P", akkor a PIP" nyílt szö- 
veget egy K kulccsal és egy /V kezdeti változóval CBC módban rejtjelezve a 
CIC rejtjeles szöveget kapjuk, ahol C a P-hez tartozó rejtjeles szöveg, melyet 
CBC módú rejtjelezéssel nyerünk P-ből a K kulcsot és az /V kezdeti változót 
használva, C" pedig a P"-höz tartozó rejtjeles szöveg, melyet szintén CBC 
módú rejtjelezéssel nyerünk P"-ből a K kulcsot és C utolsó blokkját, mint 
kezdeti változót használva. A CBC mód ezen tulajdonságát kihasználva egy 
támadó néhány megfigyelt üzenet — MAC pár segítségével olyan üzenetet 
tud konstruálni, melynek ki tudja számítani (vagy ismeri) a MAC értékét. Az 
alább tárgyalt támadások adaptívan választott üzeneteket használnak, azaz 
feltesszük, hogy a támadó képes megszerezni néhány általa választott üzenet 
MAC értékét, és ebből próbálja meg kiszámítani az általa konstruált üzenet 
MAC értékét. 

Tegyük fel, hogy a támadó ismeri egy m üzenet u MAC értékét. Tegyük 
fel továbbá, hogy a támadó meg tudja szerezni a 4-höz mint egyblokkos 
üzenethez tartozó 1! MAC értéket. Mivel u egyblokkos, ezért u!" — Ex(H E 
IV) — Ex(41) (felhasználva, hogy CBC-MAC esetén IV — 0). Ekkor a támadó 
— minden további számítás nélkül — ismeri az m üzenet és a csupa 0 bitből 
álló blokk összefűzésével nyert mj0 üzenethez tartozó MAC értéket, hiszen 
az nem más, mint MACk(m0) — Ex(00 1) — Ex(4) — 4". 

A következő példa azt mutatja, hogy a támadó nemcsak egy csupa 0 bit- 
ből álló blokkal kiegészített üzenethez, hanem egy tetszőleges blokkal ki- 
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egészített üzenethez is meg tudja szerezni a helyes MAC értéket. Tegyük 
fel, hogy a támadó ismeri egy mi és egy m2 üzenet ; és 42 MAC értékét. 
Tegyük fel továbbá, hogy a támadó meg tudja szerezni a fi € 42 OZ blok- 
kal megtoldott mil4t € 42 € z üzenethez tartozó 11" MAC értéket, ahol z egy 
tetszőleges blokk. Könnyen látszik, hogy 4" — Ex(42 € 2). Ekkor a támadó 
ismeri az molz üzenet MAC értékét, hiszen az nem más mint MACk (malz) — 
Ex(zOh2) — HI. 

A fenti támadások nem működnek, ha az alkalmazás olyan, hogy minden 
üzenetnek ismert, fix mérete van. Ekkor ugyanis a megtoldott üzeneteket 
hibás méretük miatt nem fogadja el a vevő. Ha a fix méretet nem lehet biz- 
tosítani, akkor a CBC-MAC azon opcióját használva védekezhetünk, mely 
szerint nem a CBC módú rejtjelezéssel nyert utolsó blokkot, hanem annak 
egy továbbkódolt változatát tekintjük a CBC-MAC függvény kimenetének. 
Annak átgondolását, hogy ezen opció használata valóban megakadályozza-e 
a fenti támadásokat, az olvasóra bízzuk. 


6.2.  Hash függvényre épülő MAC függvények 


A MAC függvényekre vonatkozó 1. követelmény szerint a MAC függvény- 
nek szűkítő transzformációnak kell lennie. Ebben a tekintetben a MAC függ- 
vények a hash függvényekre hasonlítanak, ezért megpróbálkozhatunk hash 
függvény alapú MAC függvény konstrukciókkal. Ügyelnünk kell azonban 
arra, hogy a hash függvényektől megkövetelt tulajdonságok (úgy mint az 
egyirányúság és az ütközésmentesség) nem feltétlenül biztosítják a MAC 
függvényekkel szemben támasztott további követelmények teljesülését. 

A legegyszerűbben úgy kovácsolhatunk hash függvényből MAC függ- 
vényt, hogy a kulcsot hozzáfűzzük az üzenethez, majd a kulccsal megtoldott 
üzenetnek kiszámítjuk a hash értékét, és az eredményt tekintjük az eredeti 
üzenet MAC értékének. Attól függően, hogy a kulcsot az üzenet elé vagy 
mögé fűzzük, alapvetően két módszert különböztethetünk meg, melyeket fi- 
tok prefix és titok suffix módszereknek hívunk. 


Titok prefix módszer. Nevéből adódóan a titok prefix módszer az üzenet elé 
fűzi a kulcsot. Az m üzenet MAC értékét tehát a következő módon számol- 
juk: 


MACkx(m) — h(KIm), (6.1) 


ahol A jelöli a hash függvényt, melyre a MAC konstrukció épül. 
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Az így nyert MAC függvény h tulajdonságaiból adódóan szűkítő transz- 
formáció és a teljes input ismeretében (azaz a K kulcsot is ismerve) a MAC 
érték könnyen számolható. A hash függvény egyirányúsága miatt abban re- 
ménykedünk, hogy egy adott MAC érték ismeretében a K kulcs megfejtése 
nehéz feladat. Vegyük azonban észre, hogy a hash függvény egyirányúsága 
azt jelenti, hogy egy adott MAC érték ismeretében a teljes input (kulcs és 
üzenet) megfejtése nehéz feladat. A mi esetünkben azonban az input egy 
része — az üzenet — ismert. Kérdéses tehát, hogy ez a konstrukció milyen ga- 
ranciát biztosít a kulcs megfejtése ellen. További probléma, hogy ha h egy 
iteratív hash függvény, akkor a támadó egy m üzenet MAC értékének ismere- 
tében könnyen tud olyan üzeneteket fabrikálni, melyek MAC értékét ki tudja 
számolni. Ezt a gyengeséget az alábbiakban részletezzük. 





TRKImím) 





6.1. ábra. A titok prefix módszer elleni támadás 


A könnyebb megértés érdekében tekintsük a 6.1. ábrát. Jelöljük h tömörítő 
függvényét f-fel. Az f függvénynek két bemenete van, az egyik az aktuális 
iterációs lépésben feldolgozandó üzenetblokk, a másik pedig a láncváltozó 
(chaining variable — CV) aktuális értéke. Az f függvény kimenete a lánc- 
változó következő értéke, illetve az utolsó iterációs lépés esetén magának az 
üzenetnek a hash értéke. Legyen a feldolgozott üzenetblokkok mérete b bit. 
Mivel a kulccsal mint prefixszel megtoldott KIm üzenet hossza nem feltét- 
lenül többszöröse b-nek, ezért valamilyen pad kitöltést alkalmazunk (mely 
tartalmazhat MD erősítést). A h(K]m) hash értéket tehát úgy kapjuk, hogy 
a Klmlpad kitöltött üzenetet f iteratív alkalmazásával blokkonként feldol- 
gozzuk. 

Jelöljük a láncváltozó kezdeti értékét CVo-val. CVg egy a hash függ- 
vény specifikációjában rögzített konstans. Elvileg azonban bármilyen érté- 
ket használhatnánk kezdeti láncváltozóként. Jelöljük h/,-vel azt a hash függ- 
vényt, melyet A-ból úgy kapunk, hogy CVg helyett cv-t használunk kezdeti 
láncváltozóként. Ekkor nyilván h(x) — hev, (9 
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Tekintsük most az mipadlm! üzenetet, ahol sr/ tetszőleges bitsorozat lehet. 
Az mipadln! üzenethez tartozó MAC értéket a következőképpen számolhat- 
juk ki (lásd 6.1. ábra): 


MACx(mipadlm!) — h(Klmlpadlm") 
— hir (7) 
- Hyacx(m) (m). 


Ez azt jelenti, hogy MACk(m) ismeretében az mipadlm! üzenet MAC értéke 
a K kulcs ismerete nélkül is kiszámítható. 


Titok suffix módszer. Egy másik lehetőség hash függvény alapú MAC függ- 
vény konstruálására a titok suffix módszer. Ekkor a kulcsot az üzenet mögé 
fűzzük, majd a kulccsal így kiegészített üzenetnek kiszámoljuk a hash érté- 
két, és az eredményt tekintjük az üzenet MAC értékének: 


MACx(m) — h(mIK). (6.2) 


A titok suffix módszer tulajdonságai hasonlítanak a titok prefix módszer 
tulajdonságaihoz azzal a különbséggel, hogy a titok prefix módszernél rész- 
letesen tárgyalt támadás ebben az esetben nem kivitelezhető. A módszer egy 
gyengesége, hogy ha h egy iteratív hash függvény, akkor a kulcsot csak a 
MAC érték kiszámításának utolsó lépésében használjuk fel. Ez problémához 
vezethet, ha a hash függvény nem ütközésmentes (pl. az alkalmazás jellegé- 
ből adódóan a MAC érték hosszára vonatkozóan korlátozásaink vannak). Te- 
gyük fel ugyanis, hogy a támadó (a születésnapi paradoxont használva) talált 
egy m és egy m! üzenetet, melyekre h(m) — h(m"). Legyen az m és az m ki- 
számításánál alkalmazott kitöltés (mely tartalmazhat MD erősítést is) rendre 
pad és pad". Könnyen látszik, hogy ekkor A(mipadIK) — h(mIpad"IK), hi- 
szen mipad és m!Ipad" feldolgozása után a hash függvény belső láncváltozó- 
jának értéke a két esetben megegyezik. Ebből következik, hogy az mipad és 
az m]Ipad" üzenetekhez tartozó MAC értékek megegyeznek. Más szóval, ha 
a támadó megszerzi az egyik MAC értékét, akkor azt fel tudja használni a 
másik MAC értékeként is. 


További módszerek. A titok prefix és a titok suffix módszereket kombinálva, 
a következő MAC konstrukcióra jutunk: 


MACkx(m) — h(KImIK). (6.3) 
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Ez a módszer, melyet szemléletesen szendvics módszernek is nevezhetünk, 
elég biztonságosnak tűnik. Egy további variáció lehet két különböző kulcs K 
és K" alkalmazása: 

MACx kr (m) — h(KImIK?). (6.4) 


Egy másik biztonságos megoldás a K kulcs néhány bitjének felhasználása 
minden üzenetblokk feldolgozásánál. Tegyük fel, hogy a hash függvény b 
bites blokkokban dolgozza fel az inputot. Legyen b — bi 4 b2 (bi1,b2 5 0). 
Az üzenetet osszuk bj bites blokkokra, és minden blokkhoz fűzzünk hozzá 
b2 bitet a kulcsból. A bi bites üzenetblokkból és a b2 kulcsbitből alló b bi- 
tes blokkokat dolgozzuk fel a hash függvénnyel. Az így eredményül kapott 
hash értéket tekintjük az üzenet MAC értékének. A kulcsbitek kiválasztá- 
sát valamilyen, a vevő számára is ismert, kulcsütemező algoritmus végzi. 
Ezen algoritmussal szemben hasonló követelményeket támaszthatunk, mint 
a réteges szerkezetű blokkrejtjelezőknél alkalmazott kulcsütemezővel szem- 
ben (pl. minden kulcsbit közel azonos számú blokkban legyen felhasználva). 
A módszer hátránya, hogy az üzenetet rövidebb blokkokban dolgozzuk fel, 
mint a hash függvény blokkmérete, és így több iterációra van szükség (azaz 
a hash függvény tömörítő függvényét többször kell meghívni). Hosszú üze- 
netek esetén ez jelentősen csökkentheti a MAC függvény hatékonyságát. 

Végül megemlítünk egy a hash függvény és a rejtjelezés kombinációjá- 
ból származó MAC függvény konstrukciót. Ennek működése a következő: 
számoljuk ki az üzenet hash értékét, majd rejtjelezzük a hash értéket a K 
kulccsal: 

MACx(m) — Ex(h(m)). (6.5) 


Ezen módszer ugyanazzal a gyengeséggel rendelkezik, mint a titok suffix 
módszer, azaz ha h nem ütközésmentes, akkor a támadó könnyen tud találni 
két üzenetet, melyeknek ugyanaz a MAC értékük. 


HMAC. A HMAC a gyakorlatban igen elterjedten használt hash függvényre 
épülő MAC függvény, melynek részletes leírása a 2104-es számú Internet 
RFC-ben található. A HMAC függvényt a következő kifejezés definiálja: 


MACk(m) — h(Kt opad I h(Kt eipad I m)), (6.6) 


ahol 


m h egy iteratív hash függvény, ami az üzenetet B bájtos blokkokban dol- 
gozza fel, 
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m ipad (inner pad) egy B bájt hosszú konstans blokk, melyben minden bájt 
értéke 36, 

m opad (outer pad) egy B bájt hosszú konstans blokk, melyben minden bájt 
értéke 5C és 


m Kt a KK kulcs csupa 0 bittel kiegészítve, hogy hossza elérje a B bájtot. 


A K kulcs tetszőleges hosszúságú lehet. B értéke tipikusan 64, így K álta- 
lában rövidebb, mint B bájt. Ha mégis hosszabb lenne, akkor először kiszá- 
moljuk h(K)-t, és ezt használjuk kulcsként. A HMAC által definiált MAC 
érték mérete az alkalmazott h hash függvény kimenetének méretétől függ. 
Ha például h az MD5 hash függvény (HMAC-MD5), akkor a kiszámított 
MAC mérete 128 bit (16 bájt), míg a SHA-1 hash függvény használata ese- 
tén (HMAC-SHA1) a MAC mérete 160 bit (20 bájt). 
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6.2. ábra. A HMAC számítása 


A HMAC egy előnyös tulajdonsága, hogy a MAC érték kiszámításának 
komplexitása lényegében megegyezik az üzenet hash értéke kiszámításának 
komplexitásával. Ezt a 6.2. ábra szemlélteti. Jelöljük az alkalmazott h hash 
függvény tömörítő függvényét f-fel. Legyen továbbá cvin — f(CVo, Kt E 
ipad) és cvow — f(CVo, Kt eopad). Vegyük észre, hogy CVin ÉS CVout Értéke 
független az m üzenettől, melynek a MAC értékét számoljuk. Ez azt jelenti, 
hogy cvin ÉS CVow Off-line módon előre számítható, még mielőtt m rendel- 
kezésre állna. Jelöljük ismét A(,-vel azt a hash függvényt, melyet h-ból úgy 
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kapunk, hogy CVg helyett cv-t használunk kezdeti láncváltozóként. Ekkor 


MACk(m) — h(Kt gopad I h(Kt eipad I m)) 
hev (heva (M)) 
— f(cvou Hex, (Mipad ), 


ahol felhasználtuk, hogy A, (m) mérete kisebb, mint B bájt, ezért a külső 
hash függvény alkalmazása lényegében az f tömörítő függvény egyszeri 
meghívását jelenti. A fenti kifejezésből jól látszik, hogy a HMAC számítása 
az üzenet hash értékének kiszámítását és az f függvény egyszeri alkalmazá- 
sát igényli. 

A HMAC egy másik előnyös tulajdonsága, hogy biztonságát intenzíven 
tanulmányozták és bizonyították. A HMAC egy érdekes tulajdonsága pél- 
dául, hogy a (külső) hash függvény bemente egyáltalán nem ismert a támadó 
számára, hiszen az nem tartalmazza közvetlenül az üzenetet (mint a titok 
prefix és titok suffix módszereknél), hanem csak a belső hash függvény ki- 
menetét. 

A jelenleg ismert legerősebb támadás a HMAC ellen ütközések keresésére 
épül a születésnapi paradoxont felhasználva. Ez azonban a tipikusan hasz- 
nált méretek mellett a gyakorlatban kivitelezhetetlen támadás. Ha például az 
alkalmazott hash függvény az MD5 függvény, mely 128 bites hash értéket 
generál, akkor a születésnapi paradoxon értelmében a támadónak 268 számú 
üzenethez kell megszereznie a helyes MAC értéket ahhoz, hogy egy ütközést 
találjon. Ráadásul ezen MAC értékeket egyazon K kulccsal kell generálni. 
Figyeljük meg azt is, hogy míg a hash függvények elleni támadásoknál a tá- 
madó off-line dolgozva kereshet ütközéseket, addig a HMAC esetén az ütkö- 
zések kereséséhez a MAC értékeket meg kell szereznie, hiszen a kulcs isme- 
rete nélkül azokat off-line módon nem tudja kiszámolni. A támadó próbál- 
kozhat üzenet - MAC párok lehallgatásával, ám 2"! üzenet — MAC pár ilyen 
módon történő megszerzése a mai technológia mellett több százezer évet 
venne igénybe (és a K kulcsnak mindvégig azonosnak kellene maradnia). 


6.3. Feladatok 


6.1. Feladat. Külföldön dolgozunk, s alkalmanként szeretnénk rejtetten pár- 
beszédet folytatni otthoni barátunkkal. Tilos azonban rejtjelezni a határon 
átlépő üzeneteket. Hitelesítő protokollok használata viszont nem tiltott (ami- 
kor is egy nyílt szöveg nyílt marad). Van megoldás? Ha megtalálta, adjon 
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egy példát egy rövid párbeszéd védelmére, továbbá elemezze a megoldás 
hátrányait (nehézségeit) is! 

(Segítség: Az eredeti párbeszédbe tűzzön bele olyan plusz sorokat, ame- 
lyek kibogozhatatlanná teszik a párbeszéd eredeti pontos értelmét. Már csak 
arra kell rájönnie, hogy hogyan lesz képes a partnere kiválogatni az eredeti 
sorokat, s itt jól jöhet egy, a feladat szerint legális hitelesítő protokoll alkal- 
mazása.) 


6.2. Feladat. Egy cég informatikai központja szoftverek egy-egy példányát 
szétosztja távoli egységei informatikai részlegeinek. Szeretné a szoftverek 
sértetlenségét biztosítani, s alkalmanként (például hetente) szeretné ellen- 
őrizni azok helyességét, amely feladat megoldásához azonban nem kíván 
titkos kulcshoz kapcsolódó eljárásokat alkalmazni, például azért, mert a kor- 
rekt kulcsgondozás költséges feladat, s erre nem kíván erőforrásokat lekötni. 
Lehetséges-e megoldás ilyen feltételek mellett? 


6.3. Feladat. Tekintsük az alábbi integritásvédelmi kódolást, ahol rejtjele- 
zés és MAC kombinációját használjuk: 


E4(mIMACy(m)). (6.7) 


Legyen CBC módú mind, rejtjelezés, mind a MAC számítás, ahol az egyik 
funkcióra (/V,k), míg a másikra (IV,k") (inicializáló vektor, kulcs) páros 


kerül alkalmazásra. Van-e veszélye annak, ha IV — IV" ,k —k" egyszerűsítő 
választással élünk? Mi a tanulság? 


6.4. Feladat. m számú véletlen bináris blokkból álló üzenetünket rejtjelezve 
és integritásvédelemmel szeretnénk továbbítani. Integritásvédelemül azt a 
gyors módszert választjuk, hogy az m darab üzenetblokkot mod2 összegez- 
zük, s így egy ellenőrzőösszeg blokkot nyerünk (azaz az ellenőrzőösszeg 
blokk i-edik bitje az üzenetblokkok i-edik bitjeinek a mod2 összege). Ez- 
után az m-- 1 darab blokkot blokkonként ECB módban rejtjelezzük. 

1. Lehallgató támadó sikeres lehet-e? És kimerítő kulcskeresést feltételezve? 


2. Aktív támadó sikeres lehet-e? 


6.5. Feladat. Mutassa meg, hogy a CBC-MAC hashing nem teljesíti az egy- 
irányúság követelményét a k kulcsot ismerő fél számára, azaz tetszőleges 
MAC ellenőrzőösszeghez képes csaló üzenetet előállítani! 
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6.6. Feladat. Azt mondjuk, hogy egy MAC algoritmus választott szövegű 
támadás ellen védett, ha egy támadó rendelkezésére áll a MAC az általa 
választott üzenetekre, mégsem képes ennek alapján kiszámítani egy MAC 
lenyomatot egy új üzenetre. Mutassa meg, hogy a CBC-MAC nem védett 
választott szövegű támadás ellen! 


6.7. Feladat. Mutassa meg, hogy a CBC-MAC nem védett választott szö- 
vegű támadás ellen akkor sem, ha úgy kívánjuk megerősíteni, hogy a MAC 
számítás előtt kiegészítjük az üzenetet egy olyan blokkal, amely az üzenet 
hosszát tartalmazza. A támadó képességéről azt tesszük fel, hogy üzeneteire 
MAC lenyomatot kaphat. 


6.8. Feladat. Két kommunikáló fél felváltva küld üzenetcsomagokat egy- 
másnak. EI szeretnék kerülni a sorszámgondozást. Mindkét fél rendelkezik 
egy-egy forrással, ahonnan véletlen elemeket kaphat. MAC kódú üzenethi- 
telesítésüket szeretnék tranzakció hitelesítés szintre feljavítani, azaz biztosí- 
tani az időbeli frissesség- és duplikálatlanság-ellenőrizhetőség képességet is. 
Javasoljon egy egyszerű protokollt e célra! 


6.9. Feladat. Vizsgálja meg, hogy a rejtjelezés biztosítja-e az adatintegritás 
védelmet az alábbi esetekben: 

1. additív kulcsfolyamos rejtjelezés, 

2. ECB módú blokkos rejtjelezés, 

3. a nyílt szöveg redundancia-mentes! 


6.10. Feladat. Ha mind a titkosság, mind pedig az adatintegritás biztosítása 
szükséges, egy lehetséges módszer a rejtjelezés és az MDC (Message Di- 
gest Code) együttes alkalmazása, azaz Ex(mIMDC(m)) kódolás. Itt MDC 
alatt tetszőleges nyilvános lenyomatképzőt értünk. Például ide tartozik egy 
lineáris CRC lenyomat, vagy akár egy kriptográfiai hash függvény is. Van-e 
különbség az alábbi két lineáris MDC alkalmazhatósága vonatkozásában: ha 
az MDC az üzenetblokkok bitenkénti mod2 összege, illetve, ha az MDC 
egy hibadetekciós kódolási gyakorlatban alkalmazott CRC (ciklikus redun- 
dancia)? 


6.11. Feladat. Tekintsük az m]JE,(MDC(m)) integritásvédő kódolást. Mi- 
lyen tulajdonsággal kell ez esetben az MDC-nek rendelkeznie? 


7. 


Digitális aláírás 


Az előző fejezetben tárgyalt üzenethitelesítő kódok nagyon hasznos szolgál- 
tatásokat nyújtanak: lehetővé teszik a csatornán átküldött üzenetek (véletlen 
és szándékos) módosításának detektálását és az üzenetek küldőjének hitele- 
sítését. Az üzenethitelesítő kódok hátránya azonban az, hogy ezeket a szol- 
gáltatásokat csak a vevő számára biztosítják. A vevő egy kívülálló harmadik 
felet már nem tud meggyőzni arról, hogy egy vett üzenet sértetlen, és a kül- 
dőtől származik. Ez azért van, mert az üzenethitelesítő kód értéke egy olyan 
titkos kulcstól függ, melyet a küldő és a vevő is ismer, A harmadik fél tehát 
nem tudja biztosan eldönteni, hogy az adott üzenethitelesítő kódot a küldő 
vagy a vevő generálta. Ez azt jelenti, hogy a küldő bármikor letagadhatja, 
hogy egy üzenetet küldött a vevőnek, és a vevő nem tudja bebizonyítani, 
hogy a küldő hazudik. Más szóval, az üzenethitelesítő kódok nem biztosíta- 
nak (eredet) letagadhatatlanság szolgáltatást. 

Egy megbízható harmadik fél (Trusted Third Party — TTP) bevonásával 
ez a probléma megoldható. Tegyük fel, hogy az A küldő és a B vevő egy-egy 
titkos kulcsot oszt meg a TTP-vel, melyet rendre KAa-val és Kg-vel jelölünk. 
A minden m üzenetet a TTP-n keresztül küld el B-nek a következő protokollt 
használva: 





4)  AGTIP: ATB]mT MACK, (Blm) 
(2) TIPOA: Alm] MACKkp(Alm) 

A a KA kulcsot használva kiszámolja a Blm üzenet MAC értékét, és azzal 
együtt küldi el az üzenetet a TTP-nek. Így a TTP a KA kulcs ismeretében le 
tudja ellenőrizni az (1)-es üzenet hitelességét. Ha az ellenőrzés sikeres, akkor 
a TTP biztos lehet benne, hogy az m üzenet A-tól származik és B-nek szól. 
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A TTP ezek után a Kg kulcs alkalmazásával új MAC értéket számol, ezúttal 
az Alm üzenethez. Így B ellenőrizni tudja, hogy a (2)-es üzenet a TTP-től 
jött. A azonosítója az üzenetben azt jelzi B számára, hogy az üzenet eredeti 
forrása A. Mivel B megbízik a TTP-ben, ezért biztos abban, hogy a TTP 
állítása igaz, és az üzenet valóban A-tól származik. Más szóval, a protokoll 
biztosítja a küldő hitelesítését a vevő számára. Vegyük észre azonban, hogy a 
fenti protokoll által a TTP A és B kommunikációjának tanújává vált, és bárki 
számára bizonyítani tudja, hogy A küldte m-et B-nek. 

Bár a célt eléri, a fenti protokollnak számos hátránya van. Egyrészt a TTP- 
nek aktívan részt kell vennie minden egyes üzenetküldésben. Ez szükségsze- 
rűen az üzenetek késleltetését eredményezi. Ezen kívül, egy nagyobb rend- 
szer esetén a kommunikáló párok száma is nagy lehet, és így a TTP könnyen 
a rendszer szűk keresztmetszetévé válhat. Továbbá, a TTP rendelkezésre ál- 
lását is biztosítani kell, hiszen ha a TTP valamilyen hiba folytán leáll, akkor 
semilyen további kommunikáció nem lehetséges a rendszerben. Egy másik 
nagy hátrány, hogy B csak a TTP aktív részvételével tudja bizonyítani C- 
nek, hogy az m üzenetet A küldte. A bizonyíték tipikusan a MACK,(Alm) 
MAC érték lehetne, melyet a TTP számol ki. Látható azonban, hogy ezt csak 
C tudja ellenőrizni. Tehát a TTP-nek annyi MAC értéket kell kiszámolnia, 
ahány félnek szüksége van a bizonyítékra. 

Egy aszimmetrikus mechanizmus alkalmasabb a letagadhatatlanság szol- 
gáltatás megvalósítására, melynek segítségével csakis az üzenet küldője ál- 
líthatja elő az üzenet eredetére vonatkozó bizonyítékot (így azt hamisítani 
nem lehet), de a rendszer bármely résztvevője (köztük a vevő is) ellenőrizni 
tudja azt. Ezt a mechanizmust digitális aláírásnak nevezzük, mivel tulajdon- 
ságai nagymértékben hasonlítanak a hagyományos aláírás tulajdonságaihoz. 
Egy fontos különbség a digitális és a hagyományos aláírás között az, hogy a 
digitális aláírás nem az üzenet anyagi hordozójához (pl. papír) kötődik, ha- 
nem magához az üzenethez. Így nemcsak az üzenet eredetére vonatkozóan 
nyújt garanciát, hanem segítségével az üzenet tartalmában az aláírás gene- 
rálása után bekövetkezett módosításokat is detektálni lehet. Összefoglalva 
tehát: a digitális aláírás egy olyan mechanizmus, mely biztosítja az üzenetek 
integritását és hitelességét, valamint az üzenetek eredetének letagadhatatlan- 
ságát. 

A digitális aláírás fent említett aszimmetrikus tulajdonsága miatt, a jól 
ismert digitális aláírássémák mind nyilvános kulcsú kriptográfiára épülnek. 
Egy digitális aláírásséma két komponensből áll: egy aláírás-generáló S algo- 
ritmusból és egy aláírás-ellenőrző V algoritmusból. Az aláírás-generáló al- 
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goritmus az aláíró fél privát kulcsával van paraméterezve, míg az ellenőrző 
algoritmus az aláíró fél nyilvános kulcsát használja paraméterként. Jelölés- 
ben ezt úgy érzékeltetjük, hogy az aláíró fél azonosítóját alsó indexbe írjuk, 
azaz az A privát kulcsával paraméterezett aláíró algoritmust S4-val, az A nyil- 
vános kulcsával paraméterezett ellenőrző algoritmust pedig VA-val jelöljük. 
Az SA algoritmus bemenete az aláírni kívánt m üzenet, kimenete pedig a 
c — Sa(m) digitális aláírás. A VA ellenőrző algoritmus bemenete egy m üze- 
net és egy c aláírás, kimenete pedig true, ha c A érvényes aláírása m-en, és 
false egyébként: 


true ha c — SA(m) 


Va(m,o) — ( false egyébként. €- 


Értelemszerűen, az ellenőrzést végző fél akkor fogadja el az aláírást hiteles- 
nek, ha az ellenőrző algoritmus kimenete true. 

Természetesen az ellenőrzés végrehajtásához az ellenőrző félnek ismenie 
kell az aláíró fél nyilvános kulcsát, mert ez szükséges az ellenőrző algoritmus 
helyes paraméterezéséhez (azaz VA használatához). Az aláíró fél hiteles nyil- 
vános kulcsának megszerzése külön feladat, amit a gyakorlatban legtöbbször 
valamilyen nyilvános kulcs infrastruktúra (Public Key Infrastructure — PKD 
segítségével oldanak meg. Ezekkel a kérdésekkel a 8.5. szakaszban foglal- 
kozunk részletesebben. Ebben a fejezetben feltesszük, hogy az aláírás ellen- 
őrzését végző fél ismeri az aláíró fél nyilvános kulcsát. 


7.1. "Támadások osztályozása 


Kriptográfiai szempontból egy digitális aláírásséma legfontosabb tulajdon- 
sága a biztonsága. Mint azt már megszoktuk, a biztonság fogalma szorosan 
kapcsolódik a támadási modellhez, mely rögzíti feltevéseinket a támadó cél- 
ját és képességeit illetően. A digitális aláírás esetében a támadó célja általá- 
ban aláírások hamisítása. Részletesebben a következő célokat különböztet- 
hetjük meg: 


m Teljes feltörés: A digitális aláírásséma teljes feltöréséről beszélünk, ami- 
kor a támadó képes kiszámítani az aláíró privát kulcsát, vagy egy olyan al- 
goritmust talál, mely funkcionálisan ekvivalens az aláíró privát kulcsával 
paraméterezett aláírás-generáló algoritmussal. Teljes feltörés esetén tehát 
a támadó tetszőleges általa választott üzenetre képes aláírást generálni az 


aláíró nevében. 
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m Szelektív hamisítás: Ebben az esetben a támadó célja érvényes aláírás ge- 


nerálása az aláíró nevében egy adott üzenetre vagy üzenetek egy adott 
családjára. 


m Eg-zisztenciális hamisítás: Ebben az esetben a támadó célja, hogy legalább 
egy üzenetre érvényes aláírást generáljon az aláíró nevében. Fontos meg- 
jegyezni, hogy a szelektív hamisítással ellentétben, itt az üzenet, melyhez 
a támadó az aláírást generálja, nem a támadó által választott üzenet; a 
támadó bármilyen üzenethez generálhatja az aláírást. 


A támadó képességeit tekintve a lehetséges támadásokat a következőkép- 
pen osztályozhatjuk: 


m Csak a nyilvános kulcs ismert: A leggyengébb képességekkel rendelkező 
támadó csak nyilvánosan hozzáférhető információk birtokában van, azaz 
a támadó csak az aláíró fél nyilvános kulcsát ismeri. 


m Ismert üzenet alapú támadás: Ebben az esetben a támadó rendelkezésére 
áll néhány üzenet — aláírás pár, de az üzeneteket, melyekre az aláírások 
ismertek, nem a támadó választja. 


m Választott üzenet alapú támadás: Ebben az esetben feltesszük, hogy a tá- 
madó képes néhány általa választott üzenethez megszerezni a hiteles alá- 
írást, és ezeket felhasználva szeretne aláírásokat hamisítani újabb üzene- 
tekhez (melyekhez természetesen még nem ismeri az aláírást). 


m Adaptívan választott üzénetekre épülő támadás: A legerősebb képessé- 
gekkel rendelkező támadóról feltesszük, hogy képes az aláírót orákulum- 
ként használni. Pontosabban, ismét azt feltételezzük, hogy a támadó képes 
általa választott üzenetekhez megszerezni a hiteles aláírást, de most azt is 
megengedjük, hogy az üzeneteket a korábban megszerzett aláírások függ- 
vényében, adaptívan válassza a támadó. 


Szeretnénk, ha a digitális aláírásséma ellenállna a legerősebb képességek- 
kel rendelkező támadónak és a leggyengébb célra irányuló támadásoknak is. 
Más szóval, egy digitális aláírássémát akkor tekintünk biztonságosnak, ha az 
ellenáll az egzisztenciális hamisításra irányuló, adaptívan választott üzene- 
tekre épülő támadásoknak. 
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7.2. Lenyomat aláírása (a , hash-and-sign"? paradigma) 


Tekintsünk egy nyilvános kulcsú titkosító rendszert. Az A résztvevő kódoló 
transzformációját (melyet A nyilvános kulcsa határoz meg) jelöljük EA-val, 
az ehhez tartozó dekódoló transzformációt (melyet A privát kulcsa hatá- 
roz meg) pedig DA-val. Ha minden m üzenetre teljesül az E4(DA (m) —m 
egyenlőség, akkor az adott nyilvános kulcsú rendszerből a következőkép- 
pen készíthetünk digitális aláírássémát. Az aláírás-generáló S, algoritmus 
legyen a titkosító rendszer DA dekódoló transzformációja (SA (m) — DA(m)), 
az aláírás-ellenőrző VA algoritmust pedig definiálja a következő kifejezés: 


— [true ha Ex(0)—m 
Va(m, o) — ( false egyébként G.2 
Más szavakkal, az aláírást úgy generáljuk, hogy az m üzeneten a titkosító 
rendszer dekódoló transzformációját alkalmazzuk, az aláírást pedig úgy el- 
lenőrizzük, hogy a c aláíráson a kódoló transzformációt alkalmazzuk, és az 
eredményt összehasonlítjuk az eredeti m üzenettel. Ha az aláírás hiteles, azaz 
6 — DA(m), akkor a titkosító rendszer fenti tulajdonsága miatt E)(o) —m 
egyenlőségnek teljesülnie kell. 

Kihangsúlyozzuk, hogy a fenti digitális aláírás konstrukció csak abban 
az esetben működik, ha a nyilvános kulcsú titkosító rendszer rendelkezik 
azzal a tulajdonsággal, hogy EA(DA(m)) — m minden m-re teljesül. Ilyen 
például az RSA rendszer, melyre Ex(Da(m)) — (m)" mod N — (m")? mod 
N — DA(EA(m)) — m. Ez azonban nem minden nyilvános kulcsú titkosító 
rendszernél van így. Az ElGamal rendszernél például a kódoló és a dekódoló 
transzformáció nem ugyanazon a halmazon van értelmezve, és így a fenti 
tulajdonság nem teljesül. 

A fenti digitális aláírásséma hátránya, hogy az aláírás mérete függ az 
üzenet méretétől (hosszabb üzeneteken képzett aláírás hosszabb). Gyakor- 
lati okokból azonban célszerű ezt a függést megszüntetni. Ezt úgy tehetjük 
meg, hogy egy alkalmas nyilvános egyirányú hash függvény felhasználá- 
sával, nem az eredeti üzeneten, hanem annak hash értékén alkalmazzuk a 
dekódoló transzformációt. Ekkor az aláírt üzenet m ] DA(h(m)) alakú. 

A hash érték aláírása általában is előnyös, nemcsak a fenti, nyilvános kul- 
csú titkosító rendszerből kialakított aláírássémák esetében. Ha ugyanis az 
üzenet helyett csak annak (általában kisebb méretű) hash értékén alkalmaz- 
zuk az aláírás-generáló algoritmust, akkor annak futási ideje rövidebb lesz. 
Ráadásul az aláírás-generálásának ideje így majdnem független az üzenet 
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méretétől! , Ekkor az aláírt üzenet m ] S4(h(m)) alakú. Ezt nevezzük , hásh- 
and-sign" paradigmának. 

Ha egy támadó megfigyel egy m I SA(Ah(m) ) üzenetet, és talál egy olyan m 
üzenetet, melyre h(m!) — h(m), akkor az SA (h(m)) aláírást felhasználhatja az 
nm üzenet hiteles aláírásaként, hiszen ekkor nyilván SA (h(nY)) — SA(h(m)) is 
teljesül. Csakhogy ha A egyirányú hash függvény, akkor a támadó gyakorlati- 
lag nem találhat azonos hash értékre vezető m üzenetet (ezt a második őskép 
ellenállóság (2nd preimage resistance) tulajdonság biztosítja). Megjegyez- 
zük, hogy a gyakorlatban a támadó feladatát tovább nehezíti, hogy nemcsak 
a h(n") — h(m) egyenlőségnek kell teljesülnie, hanem m-nek értelmes — a 
támadó céljainak megfelelő — csaló tartalmú üzenetnek kell lennie. 


Yuwal születésnapi támadása. Láttuk tehát, hogy a támadó gyakorlatilag 
nem tud egy megfigyelttel azonos hash értékű üzenetet találni. Ha például 
a hash függvény kimenete 64 bites, akkor a támadó sikerének valószínűsége 
2-5. Ha azonban a támadó rá tudja venni A-t, hogy adjon aláírást egy általa 
összeállított — akár ártatlannak tűnő tartalmú — üzenetre (választott üzenet 
alapú támadás), akkor a születésnapi paradoxont használva a támadó lénye- 
gesen hatékonyabb támadás végrehajtására is képes. 

Tegyük fel, hogy a támadó elő tud állítani 22 ártatlan, és ugyanennyi csa- 
lásra felhasználható, értelmes üzenetet. Az ártatlan üzenetek halmazát jelöl- 
jük M-mel, a csaló üzenetek halmazát pedig M"-vel. A születésnapi parado- 
xon miatt nagy a valószínűsége annak, hogy van legalább egy (m € M,n! € 
M7) pár, melyre h(m) — h(rr"). A támadás menete innen már nyilvánvaló: a 
támadó kéri A aláírását az ártatlan m üzenetre, és ezzel megszerzi A hiteles 
aláírását a csaló m/ üzenetre. 

Elsőre talán kivitelezhetetlennek tűnik ilyen nagy számú (2 - 222 sz 8 mil- 
liárd) ártatlan és csaló üzenet generálása és tárolása, ám ez sokkal könnyebb, 
mint hinnénk. Szemléltetésül tekintsük az alábbi példát: 


Tisztelt . . . Úr! 

Ezen levelemmel bemutatom Önnek .. . urat, aki . . . naptól . . . napig megbí- 
Zottam . . . ügyletekben. Jogosult . . . összeghatárig . . . illetve . .. vásárlására. 
Az összegeket ... pénznemben bocsássa rendelkezésére ... címletekben. A 
kettőnk közti elszámolás . . . ütemezéssel történik, stb. 





! Az üzenet hash értékének kiszámítása továbbra is függ az üzenet méretétől, de a hash szá- 
mítása még így is több nagyságrenddel gyorsabb, mint az aláírás generálása, ezért az aláírás- 
generáló algoritmus futási ideje dominál. 
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A kipontozott helyekre többféle lehetőség közül választva szavakat nagy- 
számú üzenetváltozatot állíthatunk elő. Például, ha 33 kipontozott helyet ha- 
gyunk, s mindegyikre két lehetőség szerint választunk, máris 233 üzenetvál- 
tozatunk van. Egy-egy változatot 33 bittel tudunk kódolni. Vessük ezt össze 
egy 1 oldalas, 2 kbyte méretű szöveg 16384 bitjével, ami felére tömörítve is 
8000 bit nagyságrendjébe esik. Mindegyik üzenethez 64 bites hash érték tar- 
tozik, így egy üzenethez 33--64-t- 1 — 98 bitet rendelünk, ahol a plusz egy bit 
jelzi, hogy melyik halmazból való az üzenet (ártatlan vagy csaló). A párosí- 
tást végezzük úgy, hogy a teljes, 293 méretű halmaz elemeit rendezzük sorba 
hash értékek szerint, s ha egybeesést (ütközést) találunk a rendezés során, 
akkor a halmazindikátor bit alapján eldöntjük, hogy különböző halmazból 
valók-e az ütköző üzenetek. A rendezéshez 33 : 2 nagyságrendű számítás 
szükséges, ami a mai technológiával még egy otthoni PC-n sem kivitelezhe- 
tetlen feladat. A tárigény 10 Gbyte nagyságrendű, ami szintén biztosítható 
házi PC szintű technológiával. 

A fenti támadást maga A is végezheti, előre bebiztosítva maga számára 
a csalás lehetőségét. Ha a támadást nem ő végzi, akkor a támadó munkáját 
nehezíthetjük azzal, hogy minden egyes aláírás előtt az aláírandó dokumen- 
tumhoz illesztünk egy véletlenül sorsolt bináris sorozatot. Ezt a véletlen ki- 
egészítést a támadó nem képes predikálni, így nem tudja a sablon üzenetváz 
ismeretében az előkészítő számításokat elvégezni. 

A védekezés egy másik módja ütközésmentes hash függvény használata, 
mely nagyobb hash méretet (a mai technológia mellett tipikusan minimum 
128 bitet) jelent. 


7.3. Példák digitális aláírássémákra 


Az RSA aláírásséma. Legyen A nyilvános RSA kulcsa (e, N), ahol e a nyil- 
vános exponens, N pedig az RSA modulus, A privát RSA kulcsa pedig d. 
Ekkor egy m üzenet aláírásához A kiszámítja mé mod N-t, azaz 


SA(m) — mé mod N. 


Az m üzenet c aláírásának ellenőrzéséhez 0" mod N értékét kell m-hez ha- 
sonlítani, azaz 

Va(m, 0) — Te ha 0" —-m 
íj false egyébként. 


Természetesen az RSA aláírássémát is lehet hash-and-sign módon hasz- 
nálni. Ekkor az aláírás-generáló és -ellenőrző algoritmusok definíciója: 
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Sa(m) — (h(m))" mod N 


— [true ha c" — hím) 
Va(m,o) — ( false egyébként. 


Az ElGamal aláírásséma. Az ElGamal aláírásséma ismertetését az EIGamal 
kulcsgenerálás leírásával kezdjük. Válasszunk egy nagy p prímszámot, és 
keressük meg a Z; multiplikatív csoport egy g generátor elemét. Válasszunk 
egy I £ a £ p—2 számot, és számítsuk ki A — g7 mod p-t. A nyilvános kulcs 
legyen a (p,g, A) hármas, a privát kulcs pedig a. 

Az m üzenet aláírása a következő módon történik. Először választunk egy 
1 Sr p-— 2 véletlenszámot, melyre /.n.k.o.(r,p — 1) — 1, majd meghatá- 
rozzuk r inverzét mod (p— 1), amit r7!-gyel jelölünk. Ezután kiszámítjuk 
a következő mennyiségeket: 


R-—g mod p, 
S -r!(h(m) —a:R) mod (p—1). 
Az m üzenet aláírása az (R, S) páros. 
Az m üzenet (R, 5) aláírásának ellenőrzéséhez, először megszerezzük az 
aláíró hiteles nyilvános kulcsát, (p, g,A)-t. Első lépésként ellenőrizzük, hogy 


0cR c p teljesül-e. Ha nem, akkor az aláírást nem fogadjuk el. Ha az el- 
lenőrzés sikeres, akkor kiszámítjuk a következő mennyiségeket: 


vi — AR.RS mod p, 
ve mod p. 


Az aláírást akkor fogadjuk el, ha vy — v2. 
Most megmutatjuk, hogy a fenti aláírás-ellenőrző módszer valóban mű- 
ködik. Ha (R, 5) hiteles, akkor 


Szr(h(m)—a-R) (mod p—1). 
Ebből h(m)-re a következő adódik: 





h(m) -r-S-t-a-R (modp-1), 


ahonnan 
ge — grsteR — AR.RS (mod p). 


Tehát vi — va valóban szükséges. 
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Az ElGamal aláírás séma egy módosított változata a Digital Signature Al- 
gorithm (DSA). Az ElGamal aláírás esetén, ha a p modulus 512 bit méretű, 
akkor az aláírás 1024 bit méretű lesz. Bizonyos alkalmazásokban azonban 
(pl. intelligens kártyák esetén) rövidebb aláírás kívánatos. A DSA algorit- 
mus úgy módosítja az ElGamal algoritmust, hogy bár a p modulus továbbra 
is 512 bites, az előállított aláírás mérete csak 320 bit. Ennek módja, hogy a 
számításokat a Z$ egy 2" méretű részcsoportjában végezzük. Ennek az alá- 
írás sémának a biztonsága azon a hiten alapszik, hogy ezen részcsoportbeli 
diszkrét logaritmus számítási feladat nehéz. A DSA és az ECDSA (ellipti- 
kus görbékre alapuló megfelelője) részletes leírása a függelékben található 
hivatkozáson keresztül érhető el. 


7.4. Feladatok 


7.1. Feladat. Két, egymás tevékenységében kevésbé bízó ország, A és B 
megállapodnak, hogy egymás területén elhelyezhetnek olyan érzékelőt, 
amely bizalmatlanságra okot adható tevékenységekről küld mérési adato- 
kat. Az érzékelőt elhelyező ország (A) biztos akar abban lenni, hogy a mért 
adatokat adatátvitel során nem hamisítja meg az érzékelőt befogadó fél. B 
befogadó fél is biztos akar abban lenni, hogy csak olyan adatok kerülnek 
továbbításra, amilyenek a megállapodásban szerepelnek. Milyen hitelesítési 
megoldást javasolna, ha 


1. csak az első feltétel az elvárás, 
2. ha mindkettő? 


8. 


Kulcscsere protokollok 


Szimmetrikus kulcsú rejtjelezés vagy üzenethitelesítő kódok használata ese- 
tén szükséges, hogy a kommunikáló felek rendelkezzenek egy titkos kulcs- 
csal, amit rajtuk kívül más nem ismer. Ebben a fejezetben azt vizsgáljuk, 
hogyan lehet ezt a közös, titkos kulcsot a kommunikáló felek birtokába jut- 
tatni. 

Nagy vonalakban két követelményt kell kielégítenünk. Egyrészt szeret- 
nénk, ha a kulcs valóban titkos maradna, ami alatt azt értjük, hogy a kommu- 
nikáló feleken (és megbízható harmadik feleken) kívül a kulcsot más nem 
ismerheti. Másrészt szeretnénk valamilyen garanciát nyújtani a kommuni- 
káló feleknek a másik fél identitására vonatkozóan. Egészen pontosan azt 
szeretnénk elérni, hogy ha A azt hiszi, hogy a K kulcs egy közös titkos kulcs 
B-vel, akkor A valóban B-vel osztja meg K-t, és nem egy harmadik, feltehe- 
tőn rossz szándékú féllel. Ilyen értelemben tehát, ez utóbbi követelmény a 
kulcs hitelességére vonatkozik. 

A kulcscsere probléma koncepcionálisan legegyszerűbb megoldása az, 
mikor A és B fizikailag (pl. személyesen) találkoznak, és megegyeznek egy 
közös kulcsban. Ez a megoldás — amit manuális kulcscserének is hívnak — 
azonban csak korlátozott mértékben használható a gyakorlatban, mert drága 
és időigényes, továbbá sokszor az alkalmazás jellegénél fogva egyszerűen 
nem is használható (pl. A az Interneten keresztül szeretne vásárolni a B kül- 
földi kereskedőtől). 

A kulcscsere probléma gyakorlatban is jól használható megoldását je- 
lentik a kulcscsere protokollok. Egy kulcscsere protokoll lehetővé teszi két 
(vagy több) fél számára egy közös titok létrehozását anélkül, hogy a két fél 
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fizikailag találkozna. A kulcscsere protokollok gyorsabbak és olcsóbbak a 
manuális kulcscserénél, és így azt is lehetővé teszik, hogy a felek sűrűn 
váltogassák közös titkukat. A rövid élettartamú közös titkot kapcsolatkulcs- 
nak is nevezzük, ami arra utal, hogy a kulcsot tipikusan csak egy kapcsolat 
alatt használják a felek, a kapcsolat bontása után pedig eldobják azt. Ha egy 
újabb kapcsolatban ismét közös kulcsra van szükségük, akkor újra futtatják 
a kulcscsere protokollt, és létrehoznak egy új kapcsolatkulcsot. A dinamiku- 
san létrehozott kapcsolatkulcsok használatának számos előnye van, köztük a 
következők: 


m A kapcsolatkulcs rövid élettartama miatt egy lehallgató támadónak csak 
korlátozott mennyiségű egyazon kulccsal rejtjelezett üzenet áll rendelke- 
zésére, ami nehezíti a kulcs megfejtését. 


u Ha egy kapcsolatkulcs mégis kompromittálódik, akkor az csak korláto- 
zott mennyiségű üzenet megfejtését teszi lehetővé. Továbbá, megfelelő 
tervezés esetén, a kapcsolatkulcs kompromittálódása nem befolyásolja a 
hosszú élettartamú mesterkulcsok biztonságát. 


a Kapcsolatkulcsot csak akkor hoznak létre a felek, ha valóban szükségük 
van rá. Így a résztvevőknek kevesebb kulcsot kell biztonságosan tárolniuk 
és rövidebb ideig. 


m A kapcsolatkulcsok alkalmazása függetlenné teszi egymástól a felek kö- 
zötti különböző kapcsolatokat, ami önmagában kívánatos tulajdonság. 


8.1. . Kulcscsere protokollok osztályozásának szempontjai 


Kulcskontroll. A kulcscsere protkolloknak alapvetően két fajtája létezik: 
kulcsszállító (key transport) és kulcsmegegyezés (key agreement) protokol- 
lok. Kulcsszállító prótokollok esetében a kapcsolatkulcsot a protokoll vala- 
melyik résztvevője (az egyik fél vagy egy megbízható harmadik fél) gene- 
rálja, majd azt biztonságosan eljuttatja a többi résztvevőnek. A kapcsolat- 
kulcs értéke tehát egy résztvevőtől függ. Ezzel szemben, kulcsmegegyezés 
Protokollok esetében a kapcsolatkulcs értékéhez minden résztvevő hozzájá- 
rul. A résztvevők az általuk generált hozzájárulásokat kicserélik, majd min- 
den résztvevő lokálisan generálja a közös kapcsolatkulcsot, a másik résztve- 
vőtől kapott hozzájárulást is felhasználva. 

A kulcsmegegyezés protokollok előnye, hogy a kapcsolatkulcs értékét 
egyik fél sem tudja befolyásolni, hiszen az a másik fél hozzájárulásától is 
függ. Kulcsszállító protokollok esetében az a résztvevő, amelyik a kulcsot 
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generálja, szándékosan választhat egy speciális tulajdonságokkal rendelkező 
(pl. valamilyen értelemben gyenge) kulcsot. A kulcsmegegyezés protokol- 
lok hátránya, hogy megvalósításuk általában nyilvános kulcsú kriptográfiára 
épül, így végrehajtásuk nagyobb számítási kapacitást igényel a résztvevők- 
től. Ennek ellenére, a fent említett kedvező tulajdonságuk miatt, gyakorlati 
alkalmazásokban (pl. SSL, SSH, IPSec) gyakran használnak kulcsmegegye- 
zés protokollokat. 

Kulcsmegegyezés protokollokra a 8.4. szakaszban látunk majd néhány 
példát, míg a kulcsszállító protokollokkal a 8.3. szakaszban foglalkozunk 
részletesebben. 


Szolgáltatások. A kulcscsere protokollok tovább osztályozhatók az általuk 
nyújtott szolgáltatások szerint. Ezen szolgáltatások a következők lehetnek: 


Implicit kulcshitelesítés. Egy kulcscsere protokoll akkor nyújt implicit 
kulcshitelesítés szolgáltatást valamely A fél számára, ha a protokoll si- 
keres lefutása után A meg lehet győződve arról, hogy rajta kívül csak a 
feltételezett másik fél, mondjuk B, és esetleg egy megbízható harmadik 
fél (pl. a kulcsszerver) férhet hozzá a protokoll során létrehozott kapcso- 
latkulcshoz. Ez egy olyan alapvető szolgáltatás, amit minden kulcscsere 
protokolltól elvárunk. Fontos megjegyezni azt, hogy implicit kulcshitele- 
sítés esetén A nem feltétlenül biztos abban, hogy B ismeri a kapcsolatkul- 
csot. Csupán annyit követelünk meg, hogy A biztos legyen abban, hogy 
csak B-nek (és esetleg egy megbízható harmadik félnek) van meg a lehe- 
tősége arra, hogy a kapcsolatkulcshoz hozzáférjen. 


Kulcskonfirmáció. Ez az a szolgáltatás, amelynek segítségével az egyik 
résztvevő, mondjuk A, meggyőződhet arról, hogy a másik résztvevő, 
mondjuk B, valóban birtokában van a protokoll futása során létrehozott 
kapcsolatkulcsnak. Ezen szolgáltatás megvalósítására több lehetőség is 
van: B elküldheti például A-nak a kapcsolatkulcs lenyomatát (hash ér- 
tékét), vagy egy, a kapcsolatkulccsal rejtjelezett publikus nyílt szöveget. 
Lenyomat küldése esetén, a hash függvény egyirányúsága miatt, egy tá- 
madó nem tudja megfejteni a kapcsolatkulcsot a megfigyelt hash értékből. 
Ismert nyílt szöveg rejtjelezése esetén pedig a rejtjelező függvény ismert 
nyílt szövegű támadás elleni ellenállóképessége biztosítja ugyanezt. 

Explicit kulcshitelesítés. Explicit kulcshitelesítésről akkor beszélünk, ha a 
protokoll egyszerre biztosítja az implicit kulcshitelesítés és a kulcskonfir- 
máció szolgáltatásokat ugyanazon fél számára. 
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Kulcsfrissesség. Ha a protokoll kulcsfrissesség szolgáltatást nyújt az. A 
résztvevő számára, akkor a protokoll sikeres futása után A meg van győ- 
ződve arról, hogy a létrehozott kapcsolatkulcs új, és nem egy korábban 
már használt és feltehetően azóta megfejtett kulcs. 


Partnerhitelesítés. Kulcscsere protokollok opcionálisan nyújthatnak part- 
ner-hitelesítés szolgáltatást is. Partnerhitelesítés alatt itt azt értjük, hogy 
a protokoll sikeres futattása után, az egyik résztvevő meg van arról győ- 
ződve, hogy a feltételezett másik résztvevő valóban jelen volt, és részt vett 
a protokoll végrehajtásában. Azok a protokollok, amelyek explicit kulcs- 
hitelesítés szolgáltatást nyújtanak, gyakran partner-hitelesítést is biztosí- 
tanak. A partner-hitelesítést mégis külön szolgáltatásként említjük, mert 
funkcionálisan különbözik az explicit kulcshitelesítéstől. 


Szolgáltatásnyújtás iránya. Korábban már utaltunk rá, most azonban konk- 
rétan is megemlítjük, hogy a fent felsorolt szolgáltatásokat a protokoll nyújt- 
hatja, csak az egyik vagy mindkét fél számára. Ennek megfelelően beszélünk 
egyirányú vagy kölcsönös implicit kulcshitelesítésről, kulcskonfirmációról, 
kulcsfrissességről, és partner-hitelesítésről. Továbbá, a protokoll nem feltét- 
lenül nyújtja ugyanazokat a szolgáltatásokat mindkét fél számára. Elképzel- 
hető például (lásd lejjebb a Wide-Mouth-Frog-protokollt), hogy a protokoll 
az egyik résztvevő számára explicit kulcshitelesítést, míg a másik résztvevő 
számára csak implicit kulcshitelesítést biztosít. 





Megbízható harmadik fél használata. A kulcscsere protokollok további osz- 
tályozási szempontja a megbízható harmadik fél használata. Ez alapján meg- 
különböztetünk protokollokat, melyek egyáltalán nem használnak megbíz- 
ható harmadik felet, és protokollokat, melyek használnak. Ez utóbbi csopor- 
ton belül a protokollokat tovább osztályozhatjuk aszerint, hogy a harmadik 
fél on-line vagy off-line módon vesz részt a protokollban. On-line harmadik 
fél esetén a megbízható harmadik fél minden protokollfutásban aktívan részt 
vesz. Erre példa a Kerberos-protokollban (a protokoll leírását lásd később 
a 8.3. szakaszban) használt kulcsszerver. Ezzel szemben, off-line harmadik 
fél esetén, a protokoll résztvevői nem a protokoll végrehajtásával egyidő- 
ben veszik igénybe a megbízható harmadik fél szolgáltatásait. Erre példa a 
nyilvános kulcs infrastruktúrákban (leírást lásd később a 8.5. szakaszban) 
használt hitelesítés szolgáltató (Certification Authority — CA). 

A részvétel módján kívül fontos az is, hogy pontosan milyen értelemben 
tekintik megbízhatónak a protokoll résztvevői a harmadik felet. A harma- 
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dik fél például lehet felelős kapcsolatkulcsok generálásáért, üzenetek hite- 
lességének ellenőrzéséért, üzenetek frissességének ellenőrzéséért, a pontos 
idő megadásáért, felhasználók személyazonosságának ellenőrzéséért, titkok 
megőrzéséért stb. Különböző feladatok különböző követelményeket támasz- 
tanak a harmadik féllel szemben, és így különböző jellegű bizalmat igényel- 
nek a protokoll résztvevői részéről. 


Előzetesen szétosztott információk. A bizalommal kapcsolatban meg kell 
még említeni a protokoll által használt, de nem a protokoll keretein belül lét- 
rehozott vagy szétosztott információkkal kapcsolatos feltevéseket is. Egyet- 
len kulcscsere protokoll sem teremt a semmiből titkos kapcsolatkulcsokat, 
hanem feltételezi, hogy a résztvevők már rendelkeznek bizonyos bizalmas 
és/vagy hiteles infomációkkal, és ezeket használva hozzák létre az új kap- 
csolatkulcsot. Ilyen előzetesen telepített információ lehet például egy hosszú 
élettartamú titkos kulcs (pl. mesterkulcs), vagy a gyökér hitelesítés szolgál- 
tató (root CA) nyilvános kulcsa. Fontos tehát látni, hogy a protokoll milyen, 
a résztvevők által már ismert információkra épít, és hogyan történhet ezen 
információk előzetes szétosztása. 


Hatékonyság. Végül a protokollok osztályozásának fontos gyakorlati szem- 
pontja lehet a hatékonyság. Itt olyan dolgokra kell gondolni, mint a protokoll 
által használt üzenetek száma, az üzenetek mérete, a protokoll végrehajtásá- 
nak gyakorisága stb. Ezek a tényezők a protokoll által használt sávszéles- 
séget jellemzik, és így bizonyos alkalmazásokban (pl. vezeték nélküli rend- 
szereknél) elsődleges fontosságúak. A szükséges sávszélességen kívül egy 
másik fontos, a protokoll hatékonyságával kapcsolatos szempont a protokoll 
végrehajtásához szükséges számítási- és tárkapacitás. Ráadásul, a protokol- 
lok számítás- és tárigényét résztvevőkre lebontva érdemes vizsgálni, hiszen 
bizonyos alkalmazásokban az egyes résztvevők kapacitása eltérő lehet (pl. 
egy mobil hálózatban olyan protokollra lehet szükségünk, mely egy kis szá- 
mítási kapacitású, mobil eszköz és egy nagy kapacitású, fix szerver között 
fut). Fontos szempont lehet az is (pl. valós idejű alkalmazásokban), hogy a 
protokoll mennyire teszi lehetővé off-line előszámítások végzését, mellyel 
csökkenteni lehet a protokoll on-line végrehajtásához szükséges időt. 
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8.2. "Támadó modell 


A támadó képességei. Kulcscsere protokollok vizsgálata esetén a támadó ké- 
pességeivel kapcsolatban két nagyon fontos feltételezést teszünk. Az egyik 
feltételezésünk az, hogy a támadó teljes mértékben kontrollálni tudja a proto- 
koll résztvevőinek kommunikációját. Ez alatt egyrészt azt értjük, hogy a tá- 
madó minden üzenetet képes lehallgatni, módosítani és törölni, valamint a tá- 
madó képes olyan hamis üzenetek generálására is, amit a rendelkezésére álló 
információk lehetővé tesznek (pl. ismert kulcsokkal tud rejtjelezni). Ezen 
képességeiből természetesen következik az is, hogy a támadó képes üzene- 
teket megfigyelni, megjegyezni és később visszajátszani. Lényegében tehát 
a résztvevők a támadón keresztül kommunikálnak egymással, azaz üzenetei- 
ket a támadónak küldik, és a támadótól kapják. Másrészt, a támadó nemcsak 
az üzeneteket tudja manipulálni, hanem bármelyik résztvevőt be tudja vonni 
a protokoll végrehajtásába, sőt még arra is rá tud venni egy becsületes részt- 
vevőt, hogy az kezdeményezze a protokoll végrehajtását a támadóval vagy 
egy másik becsületes résztvevővel. 

A gyakorlatban ritkán van arra lehetősége egy támadónak, hogy a részt- 
vevők teljes kommunikációját kontrollálni tudja. A fenti modell tehát óvatos 
(vagy pesszimista) tervezői szemléletet tükröz, abban az értelemben, hogy 
a várhatónál nagyobb hatalmat biztosít a támadónak. Ezen modell haszná- 
latától azt reméljük, hogy ha a protokoll ellenáll egy ilyen erejű (elméleti) 
támadónak, akkor ellen fog állni a gyakorlatban előforduló támadásoknak is. 

Ezzel szemben a támadóval kapcsolatos másik fontos feltevésünk az, hogy 
a támadó nem tudja feltörni a protokoll által használt kriptográfiai építőele- 
meket (pl. rejtjelezőket, hash függvényeket, digitális aláírásokat stb.). Más 
szóval azt feltételezzük, hogy a támadó nem az építőelemek feltörésével pró- 
bálja elérni célját, hanem abban keresi a gyengeséget, ahogyan a protokoll 
ezeket az építőelemeket egymással kombinálja, használja. Az építőelemek 
fekete dobozként történő kezelése természetesen egy egyszerűsített támadó 
modellt eredményez, de mint látni fogjuk, még ez is számos érdekes észrevé- 
telre vezet, és hasznos tanulságokkal szolgál a protokollok tervezői számára. 


Támadás típusok. Fenti képességeit használva a támadó többfajta támadást 
is végrehajthat. Az egyszerűbb támadások közé tartozik a passzív lehallga- 
tás, mely során a támadó csak megfigyeli a résztvevők üzeneteit, de nem 
módosítja azokat. Ilyen típusú támadások ellen a legtöbb protokoll megfele- 
lően védekezik. 
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Egy fokkal bonyolultabbak azok a támadások, amikor a támadó nemcsak 
megfigyeli a protokoll futása során küldött üzeneteket, hanem aktívan be 
is avatkozik a protokollba üzenetek módosításával és törlésével. Ennek egy 
gyakori fajtája az ún. visszajátszásos támadás (replay attack), mely során a 
támadó a protokoll egyes üzeneteit a protokoll korábbi futásai során lehall- 
gatott megfelelő üzeneteivel helyettesíti. 

A legerősebb támadások, melyet a támadó fenti képességei lehetővé tesz- 
nek, azok a támadások, amikor a támadó maga is részt vesz a protokoll végre- 
hajtásában. Ekkor természetesen feltételezzük azt, hogy a támadó rendelke- 
zik a protokoll végrehajtásához szükséges információkkal (pl. a támadó egy 
legális felhasználó, akinek saját, a rendszer által elfogadott kulcsai vannak). 
A leggyakoribb ilyen jellegű támadás az ún. parallel session, vagy más né- 
ven interleaving támadás, mely során a támadó a protokoll több példányát is 
futtatja egyszerre, egy vagy több másik résztvevővel, és az egyes példányok 
futása során szerzett ismereteit más példányokban használja fel. Tipikusan a 
támadó az egyik protokoll példányban lehallgatott üzenetet vagy üzenetrészt 
egy másik konkurrens példányban játsza vissza. 

Az interleaving jellegű támadásokkal szemben sok, nyilvános irodalom- 
ban és szabványban publikált protokoll védtelen. Ennek fő oka az, hogy az 
ilyen jellegű lehetséges támadások száma óriási (pl. ha nincs korlátozva, 
hogy a résztvevők hány protokoll példányt futtathatnak egyszerre, akkor a 
vizsgálandó esetek száma nem korlátos), és így a protokoll tervezője nem 
tudja egyszerűen ellenőrizni, hogy a protokoll minden lehetséges támadás- 
nak ellenáll-e. Ezen probléma megoldására két hozzáállás vált elfogadottá: 
az empirikus és a formális módszer. Az empirikus módszer lényege, hogy a 
sok éves tervezői gyakorlat során nyert tapasztalatokat informális protokoll 
tervezési elvekben (ökölszabályokban) összegezzük, és ezen elvek követé- 
sével igyekszünk új protokollokat tervezni. Ezt a módszert a 8.6. szakaszban 
tárgyaljuk részletesen. A formális módszer alapgondolata, hogy a protokollt 
és a protokoll céljait precízen leírjuk valamilyen matematikai modellben, 
majd formális bizonyítást adunk arra, hogy a protokoll eléri a definiált cé- 
lokat, és így az adott matematikai modellben korrektnek mondható. Erre a 
módszerre a 8.7. szakaszban mutatunk példát. 


A támadó célja. A támadó célja tipikusan a protokoll által létrehozott kap- 
csolatkulcs megszerzése, vagy annak elhitetése egy becsületes A résztvevő- 
vel, hogy A a kapcsolatkulcsot egy másik becsületes B résztvevővel hozta 
létre, miközben valójában a támadóval osztja meg azt. Ha a fentieket nem 
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tudja elérni, a támadó célja lehet még az is, hogy egyszerűen megtévessze a 
becsületes résztvevőket a másik fél kilétét illetően (pl. elhiteti A-val, hogy B- 
vel hozta létre a kapcsolatkulcsot, miközben valójában C-vel futtatta a proto- 
kollt). Ez utóbbi esetben a támadó nem jut hozzá a kapcsolatkulcshoz, ennek 
ellenére a becsületes résztvevők ily módon történő megtévesztése (Denial- 
of-Service jellegű) támadásnak minősül, mert nem kívánatos következmé- 
nyekhez vezethez. 


A támadó rendelkezésére álló információk. A támadó rendelkezésére álló 
információk tekintetében általában azt feltételezzük, hogy a nyilvánosan el- 
érhető információkon kívül a támadó nem rendelkezik további információk- 
kal. Ez tipikusan azt jelenti, hogy a támadó számára nem ismertek a proto- 
koll által használt hosszú élettartamú kulcsok, a becsületes résztvevők privát 
kulcsai, a korábbi protokollfutások során létrehozott kapcsolatkulcsok stb. 

Néha azonban érdekes megvizsgálni azt is, mi történik akkor, ha valami- 
lyen feltételezett titok kopromittálódik, és mégis a támadó kezébe jut. Felté- 
telezhetjük például, hogy a támadó valamilyen módon megszerzett egy (vagy 
több) korábbi kapcsolatkulcsot, és vizsgálhatjuk, hogy ez lehetővé teszi- 
e számára jövőbeli kapcsolatkulcsok megszerzését. Feltételezhetjük azt is, 
hogy a támadó megszerezte valamelyik becsületes résztvevő hosszú élettar- 
tamú vagy privát kulcsát. Ekkor a támadó birtokában van minden olyan in- 
formáció, mely lehetővé teszi számára minden olyan jövőbeli kapcsolatkulcs 
megszerzését, melyet a kompromittálódott résztvevővel hoznak létre. Kér- 
dés azonban, hogy a kompromittálódott résztvevő múltbeli kapcsolatkulcsait 
meg tudja-e fejteni a támadó. Erős protokolloktól természetesen azt várjuk, 
hogy a fenti kérdésekre a válasz nemleges. 


8.3. Példák kulcsszállító protokollokra 


Ebben a szakaszban néhány ismertebb kulcsszállító protokollt mutatunk be. 
Célunk egyrészt konkrét protokollok ismertetése, másrészt ezen protokollo- 
kon keresztül szeretnénk szemléltetni az eddig bevezetett fogalmakat. Kü- 
lönös figyelmet fordítunk a különböző támadás típusok bemutatására, ezért 
amelyik bemutatott protokollnak létezik ismert támadása, ott a protokoll is- 
mertetése után a támadást is ismertetjük, és javaslatot teszünk a protokoll 
javítására. Meggyőződésünk, hogy ebből a gyakorlatból igen hasznos tapasz- 
talatokat lehet szerezni. 
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A protokollok bemutatása során az irodalomban használatos jelöléseket 
használjuk. Ha a protokoll i-edik üzenete msg, melyet A küld B-nek, akkor 
azt írjuk, hogy 

(d) AGB: msg. 

A becsületes résztvevőket általában A-val és B-vel, a megbízható harmadik 
felet S-sel vagy TTP-vel jelöljük. A támadó jelölésére általában az X-et hasz- 
náljuk, és XA-t írunk, mikor ki szeretnénk hangsúlyozni, hogy a támadó az A 
becsületes fél nevében tesz valamit (pl. üzenetet küld vagy vesz). A résztve- 
vők nevének üzeneteken belüli használata a résztvevők azonosítóját jelenti. 
A protokoll által létrehozott kapcsolatkulcsot k-val, a frissen generált vélet- 
lenszámokat N-nel, az időpecséteket pedig 7-vel jelöljük, alsó indexbe téve 
a generáló résztvevő nevét (pl. NA). 


8.3.1. . A Wide-Mouth-Froeg-protokoll 


Kezdjük mindjárt egy igen egyszerű protokollal, mely az irodalomban a 
Wide-Mouth-Frog-protokoll néven ismert. A protokollnak három résztve- 
vője van, A, B és S, ahol A és B egyszerű résztvevők, akik egy kapcsolat- 
kulcsot szeretnének létrehozni egymás között az S megbízható harmadik fél 
(szerver) segítségével. A protokoll mindössze két üzenetből áll, melyek a 
következők: 





"Wide-Mouth-Frog-protokoll 


(1) AC S: AT(BIKkITA)Kas 
6) S2B: (AlklTo)kis 


Mint látható, a Wide-Mouth-Frog-protokoll egy kulcsszállító protokoll. A 
k kapcsolatkulcsot A generálja, majd a szerver segítségével biztonságosan 
eljuttatja azt B-hez. A szerverre azért van szükség, mert A és B nem rendel- 
kezik közös titokkal, mely a kapcsolatkulcs biztonságos átvitelét lehetővé 
tenné. Ezzel szemben a protokoll feltételezi, hogy A és S, valamint B és § 
rendelkezik ilyen KAs illetve Kgs titokkal. Így A a KAs kulcsot használva el 
tudja juttatni k-t 5-hez, aki a Kgs kulcsot használva továbbítja azt B-nek. 

Az üzenetek tartalmát a következőképpen magyarázhatjuk részletesebben. 
Az első üzenetben A elküldi S-nek B azonosítóját, a frissen generált k kap- 
csolatkulcsot, és egy friss 74 időpecsétet a Kas kulccsal rejtjelezve. Az első 
üzenet részét képezi még A azonosítója, mely nyílt formában jelenik meg. 
Ennek az azonosítónak csak annyi a szerepe, hogy S számára tippet adjon, 
melyik kulccsal próbálja meg dekódolni a rejtjelezett részt, hiszen. S felte- 
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hetően több résztvevőtől is kaphat ilyen formájú üzenetet. Ha egy támadó 
e nyílt azonosítót megváltoztatja, akkor S nem KAs-sel dekódolja a rejtje- 
lezett részt, és így eredményül egy pénzfeldobás sorozatból álló, használ- 
hatatlan nyílt üzenetet állít vissza, amit feltehetően felismer és egyszerűen 
eldob. 

Mikor S megkapja az első üzenetet, akkor a benne található nyílt azono- 
sító alapján előkeresi a KAs kulcsot, és dekódolja a rejtjeles részt. S az üzenet 
formátumának megvizsgálásával ellenőrzi, hogy a dekódolás sikeres volt-e. 
Ha az üzenet egy azonosítóból, egy véletlen bitsorozatból és egy időpecsét- 
ből áll, akkor S nem dobja el az üzenetet, hanem folytatja annak feldolgo- 
zását. Természetesen a fenti mezők pontos felismerése problémát jelenthet 
(pl. ha az azonosítók változó hosszúságú véletlen bitsorozatok, akkor S nem 
tudja, hogy hol végződik az azonosító, és hol kezdődik a kapcsolatkulcs), 
ezért a protokoll konkrét implementációja rögzítheti az egyes mezők hosszát 
vagy gondoskodhat megfelelő mezőszeparátorok típusindikátorok, és egyéb 
szükséges redundancia alkalmazásáról, mely lehetővé teszi a dekódolt üze- 
net egyértelmű értelmezését. 

A dekódolás után S ellenőrzi a 74 időpecsétet. Ha az S lokális órája által 
jelzett időpont és 74 között túl nagy az eltérés, akkor S eldobja az üzenetet. 
Azt, hogy mi számít túl nagy eltérésnek, a protokoll nem specifikálja, hiszen 
ez az alkalmazás jellegétől is függhet. A protokoll konkrét implementációjá- 
nak azonban nyilván rögzítenie kell az elfogadható maximális eltérést. 

Ha az üzenet minden ellenőrzésen sikeresen átmegy, akkor S az üzenetben 
található B azonosító alapján előkeresi a Kgs kulcsot, majd azzal rejtjelezi az 
A azonosítóját, a k kapcsolatkulcsot és egy frissen generált 75 időpecsétet, és 
az így nyert rejtjeles üzenetet elküldi B-nek. Figyeljük meg, hogy a második 
üzenet nem tartalmaz tippként használható nyílt azonosítót, hiszen 5-sel el- 
lentétben B-nek csak egyetlen kulcsa van, Kgs, amivel a protokoll során vett 
üzenet dekódolását megpróbálhatja. 

A második üzenet vétele után B hasonló ellenőrzéseket hajt végre, mint § 
az első üzenet vételekor. Azaz B először megpróbálja dekódolni az üzenetet 
a Kgs kulccsal, majd ellenőrzi a visszaállított nyílt üzenet formátumát és a 
Ts időpecsétet. Ha a dekódolás sikeres volt, és az időpecsét nem túl régi, 
akkor B elfogadja az üzenetet, és ezzel együtt a k kulcsot. Más szavakkal, 
B meg van győződve arról, hogy k egy frissen létrehozott kapcsolatkulcs, 
melyet az A féllel oszt meg. Ez utóbbi tényre a második üzenetben található 
A azonosító enged következtetni. 

Vizsgáljuk most meg a Wide-Mouth-Frog-protokoll tulajdonságait. 
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u Kulcskontroll: Mint korábban említettük, a protokoll a kulcsszállító pro- 
tokollok osztályába tartozik. A kapcsolatkulcsot A generálja, és a szer- 
veren keresztül eljuttatja B-nek. A kulcs értékét tehát teljes egészében A 
kontrollálja. Ez nyilván azt is jelenti, hogy B-nek meg kell bíznia abban, 
hogy A jó minőségű (megfelelően nem predikálható) kulcsokat tud gene- 
rálni. 

m Kulcshitelesítés: A protokoll A számára implicit kulcshitelesítést bizto- 
sít. Ez azért van, mert a k kulcsot A KAs-sel rejtjelezve küldi §-nek, S 
pedig Kes-sel rejtjelezve küldi B-nek. Továbbá, A megbízik §-ben, hogy 
az a protokollnak megfelelően kizárólag az első üzenetben jelzett másik 
félnek, jelen esetben B-nek küldi tovább k-t. A k kulcsot tehát.§-en és B- 
n kívül más nem ismerheti meg. Ugyanakkor A nem lehet biztos abban, 
hogy B valóban birtokában van a k kulcsnak, hiszen semmilyen vissza- 
jelzést nem kap erről a protokoll során. A protokoll tervezői valószínűleg 
úgy gondolkodtak, hogy a B által küldött első k-val kódolt üzenet bizto- 
sítja majd a kulcskonfirmációt, és ezért nem szükséges azt a protokollon 
belül megoldani. Ez elfogadható, ha az első k-val kódolt üzenet megfelelő 
mennyiségű redundanciát tartalmaz, mely lehetővé teszi A számára an- 
nak eldöntését, hogy valóban egy k-val kódolt üzenetet kapott. Mivel az 
üzenetek általában integritásvédelmet szolgáló üzenethitelesítő kódot is 
tartalmaznak, ezért a legtöbb esetben a redundancia biztosított, és a fenti 
tervezői hozzáállás elfogadható. 


B számára viszont a protokoll explicit kulcshitelesítést biztosít. Ez azért 
van, mert A-hoz hasonlóan B is meg lehet arról győződve, hogy a k kulcsot 
A-n és §-en kívül más nem ismerheti, és mivel B tudja, hogy k-t maga A 
generálta, ezért abban is biztos lehet, hogy A birtokában van a k kulcsnak. 
A kulcskonfirmációt tehát jelen esetben a protokoll második üzenetének 
vétele biztosítja B számára. 


u Kulcs frissesség: A számára nyilván biztosított a k kulcs frissessége, hi- 
szen ő maga generálja k-t. B számára k frissességét időpecsétek alkalma- 
zásával próbálja biztosítani a protokoll. Első ránézésre úgy tűnik, hogy az 
időpecsétek elérik céljukat. Mikor B megkapja a második üzenetet, és 75 
nem túl régi, akkor B biztos lehet abban, hogy S nem túl régen küldte k-t. 
Továbbá, B megbízik abban, hogy S becsületesen ellenőrizte a 74 időpe- 
csétet az első üzenetben, és hogy S nem késlelteti a protokoll futását. Ez 
azt jelenti, hogy B meg van arról győződve, hogy A nem túl régen küldte 
k-t, azaz k friss. 
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Sajnos azonban a protokoll mégsem biztosítja a k kulcs frissességét B 
számára. Alább részletesen tárgyaljuk a támadást, mely lehetővé teszi 
a támadó számára tetszőlegesen régi k elfogadtatását B-vel. E támadás 
két fontos dologra világít rá. Egyrészt azt szemlélteti, hogy a kulcscsere 
protokollok elleni támadások milyen körmönfontak, és következésképpen 
nehezen felfedezhetők lehetnek. Másrészt azt is mutatja, hogy a protokóll 
helyességével kapcsolatos informális érvelés mennyire megbízhatatlan, és 
ilyen formán formális módszerek alkalmazását motiválja. 

m Megbízható harmadik fél: Korábban említettük, hogy S egy megbízható 
harmadik fél, és az eddigi tárgyalásból az is világosan látszik, hogy S on- 
line módon vesz részt a protokollban. Többször utaltunk arra is, hogy S-etv 
milyen szempontból tekintik megbízhatónak a protokoll többi résztvevői, 
de most még egyszer összefoglaljuk az S megbízhatóságával kapcsolatos 
két fontos feltevést: 


- Egyrészt §-ről feltételezzük, hogy a k kulcsot nem fedi fel más szá- 
mára, hanem kizárólag az első üzenetben megadott másik félnek küldi 
azt el. Ehhez kapcsolódóan megemlítjük még azt a feltevést is, hogy 
§ helyesen kezeli az azonosítókat, azaz a második üzenetben az első 
üzenet küldőjének azonosítóját küldi el. 

- Másrészt §-ről feltételezzük, hogy megfelelően ellenőrzi az első üze- 
netben található időpecsétet, és helyes időpecséttel látja el a második 
üzenetet. Feltesszük továbbá azt is, hogy S nem késlelteti a protokoll 
futását, azaz nem vár indokolatlanul sokat az első üzenet vétele és a 
második üzenet küldése között. 

Bár A nem számít harmadik félnek, bizonyos szempontól neki is meg- 

bízhatónak kell lennie. Egészen pontosan arról van szó, hogy a proto- 

koll feltételezi, hogy A megfelelő minőségű és friss kapcsolatkulcsokat 
generál. 

nm Rendelkezésre álló információk: A protokoll feltételezi, hogy A és S, il- 
letve B és S rendelkezik egy hosszú élettartamú titkos KAs, illetve Kgs 
kulccsal. Ezen kulcsok eljuttatása A-hoz és §-hez, illetve B-hez és §-hez 
nem a protokoll feladata. 

Ezenkívül az időpecsétek ellenőrizhetőségének érdekében minden fél 10- 

kális órájáról feltételezzük, hogy egy globális órához van szinkronizálva. 

Az órák szinkronizálása szintén nem a protokoll feladata. A szinkroni- 

záció szükséges pontosságát egyrészt az alkalmazás jellege, másrészt a 

megkövetelt biztonság mértéke határozza meg. Az elért pontosság termé- 
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szetesen hatással van az időpecsétek elfogadási intervallumára is (minél 
pontatlanabbak az órák, annál nagyobb intervallumot kell megengedni). 


8.3.1.I. . A Wide-Mouth-Frog-protokoll támadása 


Az időpecsétek alkalmazása ellenére a Wide-Mouth-Frog-protokoll nem biz- 
tosít kulcsfrissességet B számára, ugyanis egy támadó tetszőlegesen régi k 
kulcsot el tud fogadtatni B-vel. A támadás menete a következő: 
AG S: AJ (BI KI Ta)xas 
$- B: (Alk I To)xos 
Xg S: BI(Alk]Ts)xes 
S X4: (BIKITO Jas 
XA S: AT (BIKITŐJ kus 
5— Xg: (ALKUT ris 


X4CSATBIKIT E ks 
So B: (ALKIT kos 

Az X támadó először lehallgat egy A és B között futó protokollpéldányt. 
Utána a lehallgatott második üzenetet felhasználva generál egy hamis első 
üzenetet B nevében, és elküldi azt S-nek. Ha X elég gyors, akkor S még 
elfogadja a visszajátszott üzenetben található 75 időpecsétet, amit ő maga 
generált. S a kapott üzenetet úgy értelmezi, mint B próbálkozását egy kap- 
csolatkulcs felépítésére A-val, ezért a protokollnak megfelelő választ gene- 
rálja, amit a 7?) időpecséttel lát el, ahol 762 5 73. S a választ A-nak küldi, 
e mivel X kontrollálja a kommunikációt, ezért az üzenetet elkapja, és az 
soha nem jut el A-hoz. Ezután X az elkapott üzenetet felhasználva generál 
egy hamis első üzenetet A nevében, és elküldi azt §-nek. Ha X ismét elég 
gyors, akkor S még elfogadja az üzenetben található 1 időpecsétet, amit 
ő maga generált. S a kapott üzenetet úgy értelmezi, mint A próbálkozását 
egy kapcsolatkulcs felépítésére B-vel, ezért a protokollnak megfelelő választ 
gencrálja, amit a T.? időpecséttel lát el, ahol 7) 5 769. S válaszát X is- 
mét elkapja, és így tovább. X a végtelenségig használhatja S-et az időpecsét 
frissítésére, és közben megpróbálhatja megfejteni vagy csalárd módon meg- 
szerezni k-t. Mikor k megvan, akkor X végül megengedi, hogy S B-nek szánt 
üzenete, mely egy friss 1 időpecsétet tartalmaz, eljusson B-hez. B ellen- 
őrzi a kapott üzenetet, és mivel az §-től származik és frissnek tűnik, ezért 

elfogadja k-t, mint egy A-tól származó friss kapcsolatkulcsot. 
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8.3.I.2. . A Wide-Mouth-Frog-protokoll javítása 


A fenti támadás létezésének alapvetően két oka van: egyrészt az, hogy a 
Wide-Mouth-Frog-protokoll szimmetrikus kulcsú rejtjelezést használ, más- 
részt pedig az, hogy a protokoll üzeneteinek rejtjelezett része teljesen azo- 
nos formátumú. Ezen két tényező szerencsétlen kombinációjából adódik az, 
hogy a protokoll első üzenetének rejtjelezett része visszajátszható második 
üzenetként, és fordítva. Általános tanulságként megállapíthatjuk tehát, hogy 
szimmetrikus kulcsú rejtjelezés (vagy üzenethitelesítés) használata esetén 
különös gondot kell fordítani arra, hogy a résztvevők felismerjék a saját 
maguk által generált üzeneteket. Ez megoldható az üzenetek formátumá- 
nak körültekintő megválasztásával, irányjelző bitek használatával, vagy irá- 
nyonként különböző kulcsok használatával. Példaként, a Wide-Mouth-Frog- 
protokollt irányjelző bitek használatával javítjuk ki: 





Javított Wide-Mouth-Frog-protokoll 


4 AGS: AJ(OIBIKÍ 74)xas 
2 SOB: (1]Alkl7s)ag 








A javított protokollban minden rejtjelezett rész ki van egészítve egy bit- 
tel, mely az üzenet szándékolt irányát jelöli. Az első üzenetben található 0 
bit például azt jelenti, hogy ez egy S-nek szánt üzenet, a második üzenetben 
található 1 bit pedig arra utal, hogy ez egy §-től származó üzenet. Termé- 
szetesen S nem fogad el olyan üzenetet, melyben az irányjelző bit értéke 1. 
Az olvasóra bízzuk annak ellenőrzését, hogy a javított protokoll ellenáll-e a 
fenti támadásának. 


8.3.2. . A szimmetrikus kulcsú Needham-Schroeder-protokoll 


Következő példánk a szimmetrikus kulcsú Needham-Schroeder-protokoll. A 
protokollt 1978-ban publikálta Needham és Schroeder, és azóta folyamato- 
san jelen van az irodalomban mint a szimmetrikus kulcsú kulcsszállító pro- 
tokollok jól ismert mintapéldája. Számos protokoll tervezési elv magyará- 
Zatánál és protokoll analízis módszer bemutatásánál használták szemléltető 
céllal. Továbbá, a Needham-Schroeder-protokoll egy módosított változata 
alkotja a széles körben használt Kerberos-rendszer alapját. A Wide-Mouth- 
Frog-protokolltól három fontos ponton különbözik: (a) a kapcsolatkulcsot 
nem A (vagy B), hanem egy megbízható harmadik fél generálja, (b) a kulcs- 
frissességet nem időpecsétekkel igyekszik biztosítani, hanem frissen gene- 
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rált véletlen számokkal és (c) a protokollnak része a kulcskonfirmáció. A 
protokoll üzenetei a következők: 





Szimmetrikus kulcsú Needham-Schroeder-protokoll 


(4) AS: AJBINA 

DD SCA: (NIBIKT(KIAbkas)xas 
6) A-B: (klAlxas 

(4) BOA: (Ng)k 

(659) A-B: 1N8—1)k 








A protokollnak három résztvevője van, A és B, akik egy új kapcsolatkul- 
csot szeretnének létrehozni egymás között, és S, aki megbízható harmadik 
félként segédkezik a kapcsolatkulcs létrehozásában. A protokoll végrehajtá- 
sát A kezdeményezi, aki először generál egy friss NA véletlenszámot, majd 
elküldi A és B azonosítóját, valamint A-t §-nek. Az első üzenet tehát egy 
kérés, amiből S tudomást szerez arról, hogy A akar egy új kapcsolatkulcsot 
létrehozni B-vel, és a kapcsolatkulcs frissességének bizonyítására az Na szá- 
mot kell használni. 

Ekkor S generál egy k kapcsolatkulcsot, majd a második üzenettel vála- 
szol A-nak. Ez az üzenet két részből áll. Az A-nak szóló rész tartalmazza az 
NA számot, B azonosítóját és a k kulcsot. Az üzenet többi része B-nek szól, 
ez tartalmazza a k kapcsolatkulcsot és A azonosítóját, és rejtjelezve van a 
Kps kulccsal, melyet csak B és S ismer. Továbbá, a teljes második üzenet 
(beleértve a B-nek szóló rejtjelezett részt is) rejtjelezve van a Kas kulccsal, 
melyet csak A és S ismer. 

A dekódolja a második üzenetet a Kas kulccsal. A a dekódolás helyességé- 
ről az üzenet formátumának ellenőrzésével, vagy implementációtól függően, 
további redundancia ellenőrzésével győződik meg. Ha a dekódolás helyes, 
akkor A biztos benne, hogy az üzenetet S generálta, hiszen A-n kívül más 
nem tud KAs-sel rejtjelezni, annak pedig elenyészően kicsi a valószínűsége, 
hogy valaki képes legyen véletlen módon olyan rejtjeles üzenetet generálni, 
mely KAs-sel dekódolva helyes formátumú, értelmes, nyílt üzenetet eredmé- 
nyez. Dekódolás után A ellenőrzi, hogy S válasza tartalmazza-e a korábban 
elküldött NA számot. Mivel A frissen generálta A-t, ezért annak értékét § 
nem tudja predikálni. Más szóval, ha a második üzenet tartalmazza N4-t, ak- 
kor A biztos lehet abban, hogy a második üzenet NA felfedése, azaz az első 
üzenet elküldése után keletkezett. Ilyen értelemben tehát a második üzenet 
nem túl régi, és így A a k kulcsot frissnek fogadja el. 
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A továbbítja B-nek a neki szóló rejtjelezett részt. B a Kgs kulccsal de- 
kódolja a harmadik üzenetet. A-hoz hasonlóan, ő is formátum-ellenőrzéssel, 
vagy egyéb redundancia ellenőrzésével győződik meg a dekódolás helyessé- 
géről. A visszaállított nyílt üzenetből B értesül arról; hogy A szeretne vele 
kapcsolatot teremteni, és S a k kulcsot generálta a kapcsolat védelmére. Az 
üzenet azonban nem tartalmaz semmit, ami meggyőzhetné B-t arról, hogy k 
friss. Ezt egy támadó ki tudja használni egy régi, kompromittálódott kapcso- 
latkulcs elfogadtatására B-vel. A támadást alább részletezzük, most azonban 
folytatjuk a további üzenetek értelmezését. 

Ezen a ponton A is és B is rendelkezik az S által generált k kapcsolat- — 
kulccsal. Azonban még nem tudják biztosan, hogy a másik fél megkapta-e 
k-t!. Az utolsó két üzenet célja a kulcskonfirmáció biztosítása. Ehhez B ge- 
nerál egy friss Ng véletlenszámot, és rejtjelezi azt k-val, majd az eredményt 
elküldi A-nak. A dekódolja a kapott üzenetet, az eredményül kapott számot 
eggyel csökkenti, és az eredményt k-val rejtjelezve visszaküldi B-nek. B de- 
kódolja a kapott üzenetet, és ellenőrzi, hogy (Ng — 1)-et kapta-e meg. 

A számára a kulcskonfirmáció akkor biztosított, ha képes meggyőződni 
arról, hogy a jó kulcsot használta a negyedik üzenet dekódolásánál. Ehhez az 
kell, hogy a negyedik üzenet elegendő redundanciát tartalmazzon. Mivel Ng 
véletlenszám, ezért egy helyes implementáció nem pusztán Ne-t rejtjelezi a 
negyedik üzenet előállításakor, hanem gondoskodik a megfelelő redundancia 
hozzáadásáról. 

Bár B számára a kulcskonfirmáció már a harmadik üzenet vételekor biz- 
tosított (lásd korábbi lábjegyzet), az ötödik üzenet további konfirmációval 
szolgál. Ezenkívül, valaki azt is gondolhatná, hogy az utolsó üzenet B szá- 
mára is biztosítja a k kulcs frissességét. A gondolatmenet a következő: Mivel 
Ng nem predikálható, ezért B meg lehet győződve arról, hogy az utolsó üze- 
net friss (azaz a negyedik üzenet elküldése után keletkezett), és mivel az 
utolsó üzenet közvetve tartalmazza k-t (azzal van rejtjelezve), ezért k-nak is 
frissnek kell lennie. Ez a gondolatmenet azonban hibás: attól, hogy egy kul- 
csot valaki nem túl régen használt, a kulcs maga még lehet nagyon régi. Erre 
a 8.6. szakaszban még vissza fogunk térni. 


! Egészen pontosan A nem tudja, hogy B megkapta-e k-t. Vegyük észre azonban, hogy a 
harmadik üzenet vételekor B már tudja, hogy A ismeri k-t, hiszen a második üzenetben ta- 
lálható egymásba ágyazott rejtjelezés miatt, A csak a második üzenet dekódolása után tudja 
elküldeni a harmadik üzenetet. A második üzenet dekódolásával azonban A nemcsak a B-nek 
szóló részhez jut hozzá, hanem a k kulcsot is látnia kell. 
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A fentieket összegezve, a Needham-Schroeder-protokol! a következő tu- 
lajdonságokkal rendelkezik: 


m a kulcsszállító protokollok osztályába tartozik, ahol a kapcsolatkulcs érté- 
két egy megbízható harmadik fél, az S kulcsszerver kontrollálja; 

u AÉés B számára explicit kulcshitelesítést (és partner-hitelesítést) biztosít; 

m csak A számára biztosít kulcsfrissességet; 

u S on-line módon vesz részt a protokollban; 


m 5-ről feltételezzük, hogy jó minőségű, friss kapcsolatkulcsot generál, és 
nem fedi azt fel, csak A-nak és B-nek; 


m A és S, valamint B és S már rendelkeznek egy KAs illetve egy Kgs közös 
titkos kulccsal. 


8.3.2.1. . A szimmetrikus kulcsú Needham-Schroeder-protokoll támadása 


Mint korábban említettük, a protokoll hibája az, hogy B számára a kapcsolat- 
kulcs frissessége nem biztosított. Egy támadó ezt a következőképpen tudja 
kihasználni. Tegyük fel, hogy az X támadó lehallgatta a protokoll egy pél- 
dányát, melyben A és B a k kapcsolatkulcsot hozta létre. Később a támadó 
valamilyen módon hozzájut a k kulcshoz (pl. A vagy B rendszeréből k va- 
lamilyen hiba folytán kiszivárog). Ekkor X visszajátsza a lehallgatott pro- 
tokoll példány harmadik üzenetét B-nek. B azt hiszi, A próbál kapcsolatot 
teremteni vele, és elfogadja a k kapcsolatkulcsot. B generál egy Ng véletlen- 
számot, rejtjelezi azt k-val, és az eredményt elküldi A-nak. X azonban elfogja 
az üzenetet, így A soha nem kapja azt meg. Helyette X válaszol B-nek. Meg 
tudja tenni, hiszen ismeri a k kulcsot. Vegül B azt hiszi, sikeresen futatta a 
protokollt A-val, és bizalmas adatokat küld neki k-val rejtjelezve. A helyett 
azonban X olvassa B titkos üzeneteit. 


8.3.2.2. . A Kerberos-protokoll 


A Needham-Schroeder-protokollt többféleképpen is ki lehet javítani. Egy 
lehetséges javítás Kerberos-protokoll néven vált ismertté, és a Kerberos hoz- 
záférésvédelmi rendszer alapját képzi. 

A Kerberos-protokoll a Needham-Schroeder-protokoll hibáját időpecsét 
alkalmazásával javítja ki. Figyeljük meg a második üzenet Kgs-sel kódolt, 
B-nek szóló részében, illetve a harmadik üzenetben az L paraméter alkalma- 
zását. L egy időintervallumot jelöl, mely meghatározza, hogy a k kapcsolat- 
kulcs mettől meddig érvényes. Így B csak ezen intervallumon belül fogadja 
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el a k-t tartalmazó harmadik üzenetet. A támadó még mindig próbálkozhat 
a harmadik üzenet visszajátszásával B felé, de ha L-et megfelelően rövidre 
választjuk, akkor a k kulcsot gyakorlatilag nem tudja az üzenet érvényességi 
ideje alatt megszerezni, és így az üzenet második részét (a k-val kódolt 74 
időpecsétet) nem tudja előállítani. 





Kerberos-protokoll 


(0) AGS: AIBINA 

0) SOA: (KINAILIB) xs [AKT AN Lyxas 
63) AGB: IKIAILY kes [(AlTA)k 

(4) BOA: ÍTajk 








Egyébként a Kerberos-protokollban a (k ] A ] L)xas üzenetrész visszaját- 
szása legális dolog, ugyanis ezt az üzenetrészt az A felhasználó a B erőfor- 
ráshoz történő hozzáférést engedélyező jegyként használja. Más szavakkal, 
az L időintervallumon belül A többször használhatja e jegyet a B-hez való 
hozzáférés engedélyeztetéséhez. Természetesen A minden alkalommal egy 
új TA időpecsét rejtjelezésével hitelesíti magát. 

Vegyük észre még azt is, hogy a Kerberos-protokoll második üzeneté- 
ben a rejtjelezések nem egymásba ágyazottak, mint azt a Needham-Schroe- 
der-protokollnál láttuk. Ez a változtatás a protokoll hatékonyságát javítja, 
ugyanis így kevesebb bitet kell a KAs kulccsal rejtjelezni. Ugyanakkor a pro- 
tokoll tulajdonságai nem változnak. A kettős rejtjelezés hatása a Needham— 
Schroeder-protokollban az volt, hogy B számára a harmadik üzenet vétele 
biztosította a kulcskonfirmációt (azaz B a harmadik üzenet vételekor tudta, 
hogy A már látta a k kulcsot). A Kerberos-protokollban ugyanezt a harmadik 
üzenet második felében található, k-val rejtjelezett 7, időpecsét biztosítja. 


8.3.3. A nyilvános kulcsú Needham-Schroeder-protokoll 


Előző két példánkban a kulcscsere protokoll alapvető építőeleme szimmet- 
rikus kulcsú rejtjelezés volt. Needham és Schroeder azonban 1978-as cikké- 
ben javasolt egy olyan protokollt is, ami nyilvános kulcsú rejtjelezésre épül. 
Igaz, a protokollt eredetileg partner-hitelesítésre szánták, ám később kiderült, 
hogy az kapcsolatkulcs létrehozására is alkalmas lehet. 

A protokollnak csak két (on-line) résztvevője van, A és B, akik szeretnék 
egymást hitelesíteni. Mindkét fél rendelkezik egy nyilvános — privát kulcs- 
Párral, és mindkét fél ismeri a másik fél hiteles nyilvános kulcsát. A pro- 
tokoll végrehajtását A kezdi. A először generál egy friss NA véletlenszámot, 
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majd ezt és saját azonosítóját rejtjelezi B nyilvános kulcsával, Kgp-vel, és az 
eredményt elküldi B-nek. B saját privát kulcsával dekódolja az üzenetet. B 
is generál egy Ng véletlenszámot, majd NA-t Ng-vel együtt rejtjelezi A nyil- 
vános kulcsával, Ka-val, és az eredményt visszaküldi A-nak. A saját privát 
kulcsával dekódolja az üzenetet, és ellenőrzi, hogy visszakapta-e az előzőleg 
elküldött N4-t. Sikeres ellenőrzés esetén A tudja, hogy B jelen van, mert NA 
nem predikálható, így a második üzenetet csak olyan valaki generálhatta, aki 
az első üzenet dekódolásával szerezte meg NA-t. Erre azonban csak B lehe- 
tett képes. Az ellenőrzés után A rejtjelezi Ng-t B nyilvános kulcsával, és az 
eredményt elküldi B-nek. B dekódolja az üzenetet sajtát privát kulcsával, és 
ellenőrzi, hogy visszakapta-e az előzőleg elküldött N-t. A-hoz hasonlóan, 
sikeres ellenőrzés esetén B meg lehet győződve arról, hogy A jelen van, mert 
csak ő lehetett képes a második üzenet dekódolására és Ng visszaküldésére. 
Így tehát mindkét fél hitelesítette magát (igazolta jelenlétét) a másik félnek. 





Nyilvános kulcsú Needham-Schroeder-protokoll 
(1. AG B: (NAlAlke 

(2) B-OA: (NAINB)x 

6) AB: (Nplxa 


Vegyük észre továbbá, hogy NA és Ng a protokoll során nem kerül nyíltan 
átvitelre. NA és Ng értékét tehát csak A és B ismeri. Így a partner-hitelesítésen 
túl, A és B egy f(NA, Ng) közös titkos kulcsot is létrehozhat a protokoll se- 
gítségével. 

A kulcscserére használt nyilvános kulcsú Needham-Schroeder-protokoll 
azonban támadható a következő interleaving támadással: 


AG X: WNAlAjk 
XA — B: (Na l Alk 
B — XA: (Na I Ngj.xa 
X — A: (Na I Ng)x, 
AG X: (NB)kx 
XA — B: (Ng)xe- 


Tegyük fel, hogy az X támadó egy legális felhasználó, vagy hozzájutott 
egy legális felhasználó privát kulcsához. X nyilvános kulcsát Kx-szel jelöl- 
jük. Tegyük fel továbbá, hogy X rá tudja venni A-t, hogy kezdeményezze a 
protokoll futását vele. Ekkor X meg tudja személyesíteni A-t B felé, ami azt 
jelenti, hogy B azt hiszi, A-val hozott létre egy kapcsolatkulcsot, miközben 
valójában X-szel egyezett meg a kulcsban. 
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A támadás menete a következő. Mikor A elküldi a protokoll első üzenetét 
X-nek, X saját privát kulcsával dekódolja azt, majd az eredményt rejtjelezi 
B nyilvános kulcsával, és elküldi B-nek. B tehát azt hiszi, hogy A kezde- 
ményezte vele a protokoll végrehajtását. B válaszát X nem tudja dekódolni, 
felhasználhatja viszont A-t a dekódolás elvégzésére. Ehhez B válaszát elküldi 
A-nak, aki azt hiszi, hogy az X válasza az ő első üzenetére. A protokollnak 
megfelelően A dekódolja az üzenetet, és rejtjelezi Ng-t X nyilvános kulcsá- 
val, majd az eredményt elküldi X-nek. X dekódolja ezt az üzenetet, és ezzel 
hozzájut Ng-hez. Végül X befejezi a protokollt B-vel. Figyeljük meg, hogy a 
támadás során X hozzájutott mind N4-hoz, mind Np-hez, továbbá B azt hiszi, 
hogy A-val hajtotta végre a protokollt, hiszen pontosan az annak megfelelő 
üzeneteket kapta. 

Érdemes megfigyelni, hogy a partner-hitelesítést nem kompromittálja a 
támadás, azaz B helyesen vonja le azt a következtetést, hogy A jelen van, és 
dekódolta B válaszát. A probléma az, hogy A nem B-vel futtatja a protokollt, 
hanem X-szel, és ez nem derül ki B számára (mint ahogy az sem derül ki 
A számára, hogy nem X üzenetére válaszol, hanem B-jére). Ez a hiba azon- 
ban csak akkor válik végzetessé, mikor a protokollt kulcscserére szeretnénk 
használni. 

Próbáljuk meg kijavítani a protokollt! B-t szeretnénk védeni. Mivel az 
első és a harmadik üzenet B nyilvános kulcsával van rejtjelezve, ezért azt 
bárki előállíthatja. B tehát semmilyen következtetést nem tud levonni ezen 
üzenetek eredetére vonatkozóan. Egyetlen dolog, amit tehet, hogy a saját 
maga által küldött második üzenetben elhelyezi saját azonosítóját, ezzel fi- 
gyelmeztetve A-t, hogy az üzenetet ő generálta (és nem X). Ez persze csak 
egy figyelmeztetés és nem bizonyíték A számára, hiszen A ugyanúgy sem- 
milyen következtetést nem tud levonni a második üzenet eredetére vonatko- 
zóan, mert az a mindenki által ismert nyilvános kulcsával van rejtjelezve. 
Mindenestre a módosítás a fenti támadást megakadályozza, mert A olyan 
üzenetet vár, amiben X azonosítója található, és helyette olyat kap, ami B 
azonosítóját tartalmazza. 





Javított nyilvános kulcsú Needham-Schroeder-protokoll 
(1) AGB: (NAlA)ke 

2 BOA: (NAINslB)x, 

6) A-B: (NB)ka 
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Végül ismét kihangsúlyozzuk, hogy a protokoll feltételezi, hogy mind- 
két fél ismeri a másik fél nyilvános kulcsát. Előfordulhat, hogy a nyilvános 
kulcsok nem állnak a felek rendelkezésére. Ilyenkor a megfelelő nyilvános 
kulcs tanúsítványokat meg kell szerezni. A tanúsítványokat kiadó hitelesítés- 
szolgáltatót (CA) tekinthetjük a protokoll által feltételezett off-line megbíz- 
ható harmadik félnek is. 


8.3.4. Digitális aláírás és nyilvános kulcsú rejtjelezés 


Aláírt kapcsolatkulcs rejtjelezése. A nyilvános kulcsú Needham-Schroeder- 
protokoll érdekes tulajdonsága, hogy csak nyilvános kulcsú rejtjelezést hasz- 
nál építőelemként. Ugyanakkor a kulcshitelesítés egyszerűbben megoldható 
a digitális aláírás és a rejtjelezés együttes alkalmazásával. Erre mutatunk pél- 
dákat ebben a szakaszban. 

Tekintsük az alábbi egy üzenetből álló protokollt: 





Aláírt kapcsolatkulcs rejtjelezése 
(0) AGB: (AIKITATSA(BI KI 74))Ke 








A protokollnak két (on-line) résztvevője van, A és B, akik egy kapcsolat- 
kulcsot szeretnének létrehozni egymás között. A generál egy k kulcsot, és 
aláírja azt egy 74 időpecséttel és B azonosítójával együtt. Ezután saját azo- 
nosítóját, a k kulcsot, a TA időpecsétet és az aláírást rejtjelezi B nyilvános 
kulcsával, és az eredményt elküldi B-nek. B először dekódolja az üzenetet a 
privát kulcsával, majd ellenőrzi a T4 időpecsétet és A aláírását. Ha az ellen- 
őrzések sikeresek, akkor B elfogadja a k kulcsot. 

A protokoll feltételezi, hogy mindkét fél ismeri a másik fél nyilvános 
kulcsát. A nyilvános kulcsú Needham-Schroeder-protokollhoz hasonlóan, a 
nyilvános kulcsokat vagy a kulcs tanúsítványokat szolgáltató hitelesítés szol- 
gáltatót tekinthetjük a protokoll által feltételezett off-line megbízható harma- 
dik félnek is. 

A protokoll üzenetének vétele és sikeres feldolgozása után B biztos benne, 
hogy a k kulcsot A generálta, és tudja, hogy k friss. Előbbit A digitális aláí- 
rása garantálja, utóbbiról pedig a 74 időpecsét ellenőrzésével győződhet meg 
B. Az aláírásban szerepel B azonosítója is. Ez azt igazolja, hogy A a k kul- 
csot valóban B-nek szánta. Ha B azonosítóját nem tartalmazná az aláírás, 
akkor bárki felhasználhatná az aláírást arra, hogy A nevében kapcsolatkul- 
csot küldjön B-nek (lásd később a 8.6. szakaszban a 3. protokoll tervezési 
elv tárgyalását). 
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Az üzenetben szerepel még az A azonosítója, a k kulcs és a TA időpecsét. 
A azonosítója csak egy tipp, ami segít B-nek kitalálni, hogy kinek a kulcsá- 
val próbálja meg ellenőrizni az üzenetben található aláírást. A k kulcs és a 
TA időpecsét azért szerepel az üzenetben, mert az aláírásból azok nem feltét- 
len nyerhetők ki (pl. hash-and-sign módszer alkalmazása esetén az aláírást a 
hash értéken képezzük, így abból az aláírt üzenet nem állítható vissza). 


Rejtjelezett kapcsolatkulcs aláírása. Az előző protokoll egy hátrányos tulaj- 
donsága, hogy a teljes üzenetet rejtjelezi, pedig igazából csak a k kulcs az 
ami titkos. A következő protokollban ezért először k-t rejtjelezi A, majd a 
rejtjelezett kulcsot írja alá a hitelesség biztosítása érdekében. 





Rejtjelezett kapcsolatkulcs aláírása 
(DD AGB: AI(kxgi7AlSA(B I (43xa 174) 


A protokoll üzenetének magyarázata hasonló mint az előző protokoll ese- 
tében, ezért azt most nem részletezzük. Annyit azonban megjegyzünk, hogy 
a hatékonyságon kívül van még különbség ezen protokoll és az előző sza- 
kaszban tágyalt protokoll között. Nevezetesen arról van szó, hogy az előző 
protokollban az aláírás tartalmazza a k kulcsot, és így B tudja, hogy A ismeri 
k-t. Azaz a protokoll biztosítja a kulcskonfirmációt B számára. Ezzel szem- 
ben, jelen protokoll esetén, B nem lehet biztos abban, hogy A ismeri k-t. 
Lehet, hogy A lehallgatott egy protokoll példányt, amit valamikor C futtatott 
B-vel, és szert tett (k).x,-re, de nem ismeri k-t. A később bármikor aláírhatja 
(k)x,-t egy friss időpecséttel együtt. 








Rejtjelezett és aláírt kapcsolatkulcs. A két korábbi protokollt ötvözve mind- 
kettő hiányosságait ki tudjuk küszöbölni: 





Rejtjelezett és aláírt kapcsolatkulcs 
(4) AGB: AJ(kjxgl7alSa(BIk17A) 








Ezen protokoll esetében természetesen feltételezzük, hogy az SA aláírás- 
ból a k kulcs nem fejthető meg. Ez praktikusan azt jelenti, hogy a hash- 
and-sign módszert alkalmazzuk. A protokoll tulajdonságainak vizsgálatát az 
olvasóra bízzuk. 
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8.4. Példák kulcsmegegyezés protokollokra 


Ebben a szakaszban két kulcsmegegyezés protokollt mutatunk be. Az első 
a történelmi jelentőségű Diffie-Hellman-protokoll, amit Diffie és Hellman 
publikált híres, 1976-os cikkében, melyben a nyilvános kulcsú kriptográfia 
koncepcióját is kidolgozták. Mint látni fogjuk azonban, a Diffie-Hellman- 
protokollnak van egy súlyos hiányossága, ezért az eredeti változatot ritkán 
használják. A protkollnak számos kibővített változata létezik, melyek igye- 
keznek az eredeti protokoll hiányosságát megszüntetni. Az eredetivel ellen- 
tétben, a különböző változatok igen széles körben használatosak a gyakor- 
latban. Egy ilyen változatot, a Station-to-Station-protokollt mutatjuk be má- 
sodik példaként. 


8.4.1. . A Diffic-Hellman-protokoll 


A protokollnak két résztvevője van, akiket A-val és B-vel jelölünk. A koráb- 
ban leírt protokollokkal ellentétben, itt A és B szerepe teljesen szimmetrikus. 
Feltesszük, hogy mindkét fél számára ismert egy nagy p prímszám, és a hata 
véges csoport egy g generátor eleme, ahol Z7 a p által definiált véges multi- 
plikatív csoportot jelöli, azaz az (1,2,...,p— 1) halmazt a modp szorzás- 
sal, mint művelettel. A generál egy x véletlen számot, melyre I £x £p—2, 
majd kiszámolja g7" mod p értékét, és az eredményt elküldi B-nek. Hason- 
lóan, B generál egy y véletlen számot, melyre 1 £ y S p— 2, majd kiszá- 
molja g) mod p értékét, és az eredményt elküldi A-nak. Ezek után a B-től 
kapott g? mod p értéket és saját titkos x számát felhasználva, A kiszámolja 
(g?)" mod p értékét. B hasonlóan kiszámolja (g7)? mod p értékét. A hatvá- 
nyozás kommutativitása miatt azonban mindkét fél ugyanazt a k—g? mod p 
számot kapja, és ez lesz (vagy további számítással ebből kapható) a közös 
kapcsolatkulcs. 





Diffie-Hellman-protokoll 


(04) AGB: g modp 
(2) B-OA: g8 modp 
(Ba) A: k—(gy mod p—g? mod p 
(Gb) B: k—(gy mod p—g? mod p 


A Diffie-Hellman-protokoll biztonsága a Diffie-Hellman-probléma és a 
diszkrét logaritmus probléma nehézségén alapszik. A Diffie-Hellman-prob- 
léma a következő: adott egy p prím, a Z; csoport egy g generátor eleme, vala- 
mint a g7 mod p és g? mod p számok; számoljuk ki g"9 mod p értékét. Ehhez 
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szorosan kapcsolódik a diszkrét logaritmus probléma, mely a következőkép- 
pen szól: adott egy p prím, a 27 csoport egy g generátor eleme, és egy X € [44 
szám; adjuk meg azt az x € Z; számot, melyre g7 mod p — X. A két prob- 
léma közötti kapcsolatról annyit tudunk, hogy ha a diszkrét logaritmust meg 
tudnánk oldani, akkor a Diffie-Hellman-problémára is megoldást kapnánk: 
először g7 mod p-ből meghatározzuk x-et, majd kiszámítjuk (gy)" mod p ér- 
tékét. Mivel a fordított irány nem bizonyított, ezért nem tudjuk, hogy a két 
probléma ekvivalens-e. Mindenesetre, úgy sejtik, hogy mindkét probléma 
nehéz, abban az értelemben, hogy nem lehet polinom időben megoldani őket. 
A pontos komplexitása azonban egyik problémának sem ismert. 

A Diffie-Hellman-protokoll egyszerű és elegáns. Sajnos azonban a pro- 
tokoll nem biztosít kulcshitelesítést, ezért csak passzív támadóval szemben 
biztonságos. Ha az aktív támadás lehetőségét nem lehet kizárni, akkor A és 
B nem lehetnek biztosak abban, hogy egymással hozták létre a kapcsolatkul- 
csot, mert a támadó kettőjük közé ékelődve, mindkét féllel futtatni tudja a 
protokollt. Ezt a problémát igyekszik megoldani a következő protokoll. 


8.4.2. . A Station-to-Station-protokoll 


A Station-to-Station-protokoll a Diffie-Hellman-protokoll egy hiteles: 
kiegészített változata. A Diffie-Hellman-protokolltól annyiban különbözik, 
hogy a felek aláírják a protokoll futása során használt g" mod P és gy mod p 
Publikus Diffie-Hellman-értékeket, és ezzel hitelesítik azokat. Ezen kívül, 
a protokoll kulcskonfirmációt is biztosít, azaz mindkét fél bizonyítja, hogy 
ismeri a létrehozott X kapcsolatkulcsot. A protokoll üzenetei a következők 
(ahol az egyszerűség kedvéért mindenhol elhagytuk a mod p jelöléso: 











Station-to-Station-protokoll 


W) AGB: g 
2) BOA: gl(S(E1e9k 
63) AC B: (S4(g"189))k 








A Station-to-Station-protokoll tehát mindkét fél számára explicit kulcshi- 
telesítést biztosít. Ezen kívül mindkét fél számára biztosítva van a kulcsfris- 
Sesség is. Ezt azonban nem explicit időpecsétek vagy friss véletlenszámok 
kihívásként történő alkalmazásával oldja meg a protokoll. A kulcs frissessé- 
gét itt az biztosítja, hogy mindkét fél egy friss, nem predikálható elemmel 
járul hozzá a kulcshoz (g" mod p nem predikálható x nem predikálható volta 
miatt) és egyik fél sem tudja egyedül befolyásolni a kulcs értékét. 


8. Kulcscsere protokollok 191 


Míg az eredeti Diffie-Hellman-protokollnak csak két résztvevője van, ad- 
dig a Station-to-Station-protokoll résztvevőinek esetleg egy off-line megbíz- 
ható harmadik fél szolgáltatásait is igénybe kell venniük egymás nyilvános 
kulcsának megszerzéséhez. Erre a digitális aláírások ellenőrzése miatt van 
szükségük. 


8.5. Nyilvános kulcs infrastruktúra alapjai 


Nyilvános kulcsú kriptográfiára épülő protokoll példáinkban eddig feltéte- 
leztük, hogy a felek ismerik egymás hiteles nyilvános kulcsát. Most azt vizs- 
gáljuk, hogy hogyan lehet a hiteles nyilvános kulcsokhoz hozzájutni. Vegyük 
észre, hogy ha A szeretné megszerezni B nyilvános kulcsát, Kp-t, akkor nem 
jó megoldás az, ha B mindenféle védelem nélkül elküldi Kg-t A-nak. Igaz 
ugyan, hogy Kg nem titkos, ezért egy hallgatózó támadótól nem kell tartani. 
Azonban ha az X támadó aktív támadást is képes végrehajtani, akkor Kg-t 
az átvitel során saját nyilvános kulcsával, Kx-szel helyettesítheti. Ekkor A 
B-nek szánt üzeneteit Kx-szel fogja rejtjelezni, és így azokat X meg tudja 
fejteni. Sőt, a megfejtett üzeneteket Kg-vel rejtjelezve és továbbítva B felé, 
X a támadást észrevétlenül tudja végrehajtani. Ezért nagyon fontos, hogy A 
meg tudjon győződni a kulcs hitelességéről, azaz arról, hogy a kulcs amit B 
nyilvános kulcsának hisz, valóban B nyilvános kulcsa. 

Ezen probléma megoldására a gyakorlatban a nyilvános kulcs tanúsítvá- 
nyok használata terjedt el. A nyilvános kulcs tanúsítvány egy adatstruktúra, 
mely minimálisan a következő adatokat tartalmazza: 


m a nyilvános kulcsot, 
u a nyilvános kulcs tulajdonosának azonosítóját, és 
m egy aláírást, mely az előző két mezőt elválaszthatatlanul összeköti. 


Az aláírást általában egy megbízható fél, a hitelesítés-szolgáltató (Certifi- 
cation Authority — CA) generálja, aki kompetens annak meghatározásában, 
hogy a tanúsítvány által tartalmazott kulcs és azonosító valóban összetartoz- 
nak-e. A tanúsítvány lényegében ezen megbízható fél állítása, miszerint az 
adott kulcs az adott tulajdonoshoz tartozik. 

A gyakorlatban a tanúsítvány további adatokat is tartalmaz, mint például 
a tanúsítvány aláírójának, a kibocsájtónak az azonosítóját, a kibocsájtás dá- 
tumát, a tanúsítvány érvényességi idejét (lejárati dátumát) stb. 

A hitelesítés-szolgáltató általában off-line. Ez azért előnyös, mert így 
könnyebb garantálni a biztonságát. Ugyanakkor a tanúsítványok megszerzé- 
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sének megkönnyítésére a rendszerben lehetnek on-line szerverek (adatbázi- 
sok), ahol a tanúsítványokat el lehet helyezni, illetve ahonnan azokat szükség 
esetén le lehet tölteni. Ezen szervereknek azonban nem kell megbízhatónak 
lenniük: a kulcs hitelességét a tanúsítványban található aláírás garantálja, 
és nem a szerver, ahonnan a tanúsítványt letöltöttük. A megbízható és nem 
feltétlen megbízható elemek ilyetén szétválasztása a tanúsítvány-alapú nyil- 
vános kulcs infrastruktúra egyik nagy előnye. 

Tegyük fel, hogy a rendszerben csak egy hitelesítés-szolgáltató van, és 
az bocsájtja ki minden felhasználó tanúsítványát. Ekkor minden felhasz- 
náló minden tanúsítványt ellenőrizni tud, feltéve hogy ismeri a hitelesítés- 
szolgáltató nyilvános kulcsát. Ehhez tipikusan akkor juthat hozzá bizton- 
ságosan, mikor a saját tanúsítványát igényli a hitelesítés-szolgáltatónál, és 
személyazonosságának igazolása érdekében személyesen megjelenik a szol- 
gáltatónál. Az egyetlen hitelesítés szolgáltatóra épülő rendszer előnye, hogy 
egyszerű. Hátránya viszont, hogy nem skálázható, azaz a felhasználók szá- 
mának növekedésével a rendszer használata egyre nehézkesebbé válik, a 
megbízható működés esetleg nem is garantálható. 

Nagy rendszerekben több hitelesítés-szolgáltató található, melyek általá- 
ban valamilyen struktúra szerint szerveződnek. A skálázhatósággal kapcso- 
latos problémák megoldására általában célszerű a hitelesítés-szolgáltatókat 
hierarchiába szervezni. A hierarchia tetején általában egyetlen szolgáltató 
áll, amit gyökérszolgáltatónak (root CA) hívunk. Ez alatt helyezkednek el 
az első szintű szolgáltatók, majd alattuk a második szintűek, és így tovább. 
Tipikusan minden szolgáltató a közvetlenül alatta elhelyezkedő szolgáltatók 
számára bocsájt ki tanúsítványokat, azaz minden alatta elhelyezkedő szolgál- 
tató azonosítóját és nyilvános kulcsát aláírja. A felhasználók tanúsítványát a 
legalsó szinten elhelyezkedő szolgáltatók bocsájtják ki. Ezt a fajta szervező- 
dést a 8.1. ábra szemlélteti. 

Csakúgy, mint az egyetlen hitelesítés-szolgáltatót tartalmazó rendszerben, 
itt is feltesszük, hogy minden felhasználó ismeri a gyökérszolgáltató hiteles 
nyilvános kulcsát. Ez azonban még nem elég egy adott felhasználó tanúsít- 
ványának ellenőrzéséhez, hiszen a felhasználók tanúsítványait nem a gyö- 
kérszolgáltató írja alá. Amire szükség van, az egy tanúsítványlánc, mely a 
következő tulajdonságokkal rendelkezik: 


m A lánc első eleme egy olyan tanúsítvány, amit a gyökérszolgáltató adott 
ki, és így a benne található nyilvános kulcs hitelessége bárki által ellenő- 
rizhető. 
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8.1. ábra. Hitelesítés-szolgáltatók tiszta hierarchikus szerveződésének illusztrá- 
ciója. Minden nyíl egy kibocsájtott tanúsítványt reprezentál, ahol a nyíl iránya a 
kibocsájtás irányára utal 


m A lánc minden további tanúsítványára igaz, hogy ellenőrizhető a láncban 
őt közvetlenül megelőző tanúsítványban található nyilvános kulccsal. 


m A lánc utolsó tanúsítványa tartalmazza a kérdéses, hitelesíteni kívánt fel- 
használói nyilvános kulcsot. 


Könnyen látható, hogy egy ilyen tanúsítványlánc birtokában, és a gyökér- 
szolgáltató nyilvános kulcsának ismeretében bármely felhasználó bármely 
másik felhasználó tanúsítványát ellenőrizni tudja. Ehhez a lánc tanúsítvá- 
nyait kell sorrendben ellenőrizni. 

Fontos megjegyezni, hogy tanúsítványláncok használata esetén, a lánc 
minden egyes tanúsítványának kibocsájtójában meg kell bíznunk. Ha egy hi- 
telesítés szolgáltató nem feltétlenül megbízható, akkor a lánc ellenőrzése az 
ezen szolgáltató által kibocsájtott tanúsítványnál megakad, hiszen az abban 
található nyilvános kulcs hitelességében nem lehetünk biztosak. 

A gyakorlatban a hitelesítés szolgáltatók nem feltétlenül szerveződnek 
tiszta hierarchiába. Előfordulhat például, hogy több szervezet szeretné egye- 
síteni már létező hierarchikus infrastruktúráját. Ezt megtehetik például úgy, 
hogy gyökér szolgáltatóik keresztbe tanúsítják egymást, azaz minden gyökér 
minden gyökér számára kibocsájt egy tanúsítványt. Ez lehetővé teszi, hogy a 
különböző szervezetekhez tartozó felhasználók is ellenőrizni tudják egymás 
tanúsítványát. Az is előfordulhat, hogy nemcsak a felsőbb szintű szolgálta- 
tók adnak ki tanúsítványokat az alattuk elhelyezkedő szolgáltatóknak, hanem 
fordítva is. Akárhogyan is szerveződnek azonban a hitelesítés-szolgáltatók, 
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a tanúsítványláncon alapuló hitelesítés fentebb bemutatott elve és feltételei 
érvényesek maradnak. 


8.5.1. A nyilvános kulcs infrastruktúra további szereplői és funkciói 


A nyilvános kulcs infrastruktúra két alapvető résztvevője A fentebb beveze- 
tett hitelesítés-szolgáltató és az általa kibocsájtott tanúsítvány tulajdonosa. 
E két főszereplőn túl, általában további szereplők is vannak a rendszerben, 
úgy mint 


m az akkreditáló hatóság: Az adott ország törvényei szabályozzák a hite- 
lesítés-szolgáltatóként való működés feltételeit. Ezen törvényeknek és az 
elfogadott biztonságpolitikai elveknek való megfelelést az akkreditáló ha- 
tóság független auditor szervezetekkel ellenőrizteti. 


m a regisztrációs-szolgáltató (Registration Authority — RA): A regisztrációs- 
szolgáltató — amennyiben különválik a hitelesítés-szolgáltatótól — a szol- 
gáltatást a hitelesítés-szolgáltatóval kötött szerződés alapján végezheti, 
amely magába foglalhatja: 


— a tanúsítványért folyamodók azonosítását, 

- azon információk gyűjtését és rendszerbe vitelét, amelyek a tanúsít- 
vány tartalmát képezik, s amelyre a hitelesítés-szolgáltató az aláírását 
fogja adni, 

— a biztonságos kommunikációt a hitelesítés-szolgáltatóval, 

— a hitelesítés-szolgáltatótól érkező friss tanúsítványok fogadását, majd 
s kézbesítését" a tulajdonosnak. 


A regisztrációs-szolgáltató funkciói — rendszertől függően — magukba 
foglalhatják továbbá a felhasználók titkos kulcsának tárolására használt 
hardver eszközök (pl. chip-kártya) kiadását a felhasználók számára, a ta- 
núsítvány-visszavonás eseménnyel kapcsolatos teendőket (pl. riport ké- 
szítés), a kulcsgenerálás funkcióit, és a kulcsok archiválását is. 


m auditor szervezetek: Az auditálás feladat nemcsak a hitelesítés-szolgálta- 
tóként való működés engedélyezése kapcsán jelenik meg, hanem perio- 
dikusan, a hitelesítés-szolgáltató működése során is szükség van auditá- 
lásra egészen a szolgáltatás megszünéséig. Az auditálás során ellenőrzésre 
kerül, hogy a szolgáltató valóban a meghirdetett biztonságpolitikájának 
(TBSz) megfelelően telepítette és működteti a szolgáltatás funkcióit. Az 
auditor szervezetileg elkülönült kell legyen a hitelesítés-szolgáltatótól, és 
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— természetesen — szakmailag kompetensnek kell lennie a megfelelőségi 
auditálás (compliance audit) feladatkörében. 

Amennyiben az auditor hiányosságot talál a hitelesítés-szolgáltató műkö- 
désében, arról feljegyzést készít, s azt megküldi mind az auditált, mind 
a felettes szolgáltatónak. Az auditált szolgáltató javaslatot kell tegyen a 
hiányosság orvoslására, megadva annak teljesítési határidejét is. 


a tanúsítvány-felhasználó fél: Van egy további természetes szereplő is 
a rendszerben: a tanúsítványt felhasználó fél (pl. egy Web alapú házi- 
bank szolgáltatás esetén, a bank tanúsítványát a böngészője felhasználá- 
sával ellenőrző fél). Ez a szereplő, a tanúsítvány-felhasználó nem feltétlen 
olyan szereplő, akinek saját tanúsítványa van (a tipikus jelenleg az, hogy 
a tanúsítvány felhasználók száma sokkal nagyobb, mint a tanúsítvány- 
tulajdonosok száma). A tanúsítvány-felhasználó kötelessége, hogy ellen- 
őrizze a tanúsítvány érvényességét, mielőtt arra alapozva elfogadna egy 
tranzakciót. Kötelessége továbbá, hogy ellenőrizze a visszavonási és fel- 
függesztési listát. Tudnia kell azt is, hogy az adott tanúsítvány milyen 
alkalmazásokkal kapcsolatosan használható. 


A nyilvános kulcs infrastruktúra főbb funkciói a következők: 


Kezdeti regisztráció és tanúsítvány-kibocsátás: Miután a regisztrációs- 
szolgáltató azonosította a tanúsítványért folyamodót (továbbiakban előfi- 
zető), a hitelesítés szolgáltató elkészíti a tanúsítványt az előfizető nyilvá- 
nos kulcsára. Az elkészült tanúsítványt eljuttatja az előfizetőnek, valamint 
elhelyezi a tanúsítvány-tárban is. A tanúsítvány publikálását — rendszertől 
függően — végezheti a regisztrációs-szolgáltató is. Ezen kezdeti lépések 
eleme az előfizetői hardver eszköz inicializálása, amelynek során meg- 
történik a hitelesítés-szolgáltyató hiteles nyilvános kulcsának betöltése, 
valamint az előfizetői kulcspár telepítése. 

Előfizetői kulcspár frissítés: Az előfizetői kulcspárt rendszeresen frissí- 
teni kell. A frissítés során a régi kulcspár újra cserélődik, s egyúttal új 
tanúsítvány is kibocsájtásra kerül. 

Tanúsítvány frissítés: Amikor a tanúsítvány érvényességi ideje lejár, vagy 
az előfizetői adatokban változás áll be, a tanúsítványt frissíteni kell, ami 
gyakorlatilag egy új tanúsítvány kibocsájtását jelenti. 

Publikálás: A kibocsájtott tanúsítványt vagy egy tanúsítvány visszavoná- 
sát publikálni kell, amely alapvetően annak elhelyezését jelenti a tanú- 
sítvány-tárban illetve a visszavonási listán (Certificate Revocation List 
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- CRL). A szolgáltató feladata a tanúsítvány-tár és a visszavonási lista 
hozzáférésvédelmének garantálása. Ezen kívül a hitelesítés-szolgáltató- 
nak publikálnia kell saját tanúsítvány-aláíró kulcsának tanúsítványát, to- 
vábbá a biztonságpolitika dokumentumának egy példányát is. A publiká- 
lás történhet rendszeren kívüli csatornán is. ak 


m Visszavonás: Előfordul, hogy egy tanúsítványt vissza kell vonni. Ennek 
tipikus okai lehetnek a következok: 


- a tanúsítvány tulajdonosának azonosító adataiban változás állt elő, 
azaz a tanúsítványban feltüntetett adatok már nem érvényesek, 

-— a tanúsítvány felhasználhatósági köre szűkült, 

-— a tanúsítvány tulajdonosa megsértette a biztonsági rendszabályokat, 

- a tanusítványban szereplő nyilvános kulcshoz tartozó titkos kulcs 
kompromittálódott, 

-— a tanúsítvány tulajdonosa kéri annak visszavonását. 


A visszavonást a szolgáltató publikálja a visszavont tanúsítvány visszavo- 
nási listán történő elhelyezésével. A visszavonást a lehető leggyorsabban 
meg kell tenni. Amennyiben a tulajdonostól érkezik a visszavonási ké- 
relem, a kérelem hitelességét ellenőrizni kell, hogy ne fordulhasson elő, 
hogy egy támadó visszavonathassa mások tanúsítványát. Ezért a vissza- 
vonási kérelmet aláírással (manuális vagy digitális) kell ellátni. 


A visszavonási listát periódikusan frissíteni kell, például 1 nap frissítési 
periódusidővel. A titkos kulcs kompromittálódása esetén azonban nem a 
periódus időt kell figyelembe venni, hanem amilyen gyorsan csak lehet- 
séges a megfelelő tanúsítványt el kell helyezni a visszavonási listán. 


8.5.2. . Kulcsgondozás 


Egy nyilvános kulcs infrstruktúrában a következő kulcsgondozással kapcso- 
latos feladatokat kell ellátni: 


m Generálás: Az előfizetői kulcspár generálása — rendszertől függően — tör- 
ténhet az előfizetőnél, a hitelesítés-szolgáltatónál vagy a regisztrációs- 
szolgáltatónál. A szükséges véletlen elemek megfelelő generálása kritikus 
biztonsági kérdés. A kulcsgeneráláshoz felhasznált véletlen elemek gene- 
rálása — az alkalmazás biztonsági besorolásától függően — hardver véletlen 
generátorral (valódi, fizikai véletlen) vagy álvéletlen generátorral (valódi 
véletlennel inicializált algoritmus) történik. 
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u Tárolás: A titkos kulcs nyílt formában nem hagyhatja el azt az eszközt 
(modult), amelyben generálódott. Rejtjelezett formában a modulon kívül 
is megjelenhet, egy másik modulba töltés vagy biztonságos háttértárolás 
(későbbi kulcs helyreállítás) okán. Nagy előfizetői populációt gondozó 
szolgáltató esetén felmerülhet a szolgáltató titkos kulcsát tartalmazó mo- 
dulhoz történő hozzáférés olyan jellegű korlátozása, hogy azzal kapcso- 
latos bizonyos műveleteket csak két személy együttes közreműködésével 
lehessen végrehajtani. 

Ha a kulcsot nem az előfizető generálja, hozzá hardver token vagy rejtje- 
lezett szoftver modul (fájl) formájában jut el. 

Az előfizetői eszköz része egy helyi biztonságos tár (HBT), amely lehet 
szoftver (védett fájl) vagy (cél)hardver alapú (token). A HBT tartalmához 
történő hozzáférést valamely aktivációs kulcs engedélyezi. A titkos kulcs 
aktiválása történhet például jelszóval, jelmondattal, vagy biometrikus ada- 
tok alapján. Tipikus, hogy az aktivációs adatot (például jelszó) az előfizető 
választja. Ha a rendszer magas biztonsági osztályt is megkülönböztet, ak- 
kor ott tipikusan tilos a személyes választás, véletlenül generált aktivációs 
adatot kell használni. Az aktivált modul inaktiválásának módját, teendőit 
definiálni kell. 

Az aktivációs adatokat a kulcsot hordozó modultól független csatornán 
(közvetlenül kézbe adás, postai küldemény) kell eljutatni az előfizetőhöz. 
Amennyiben nem közvetlenül kézbe adódik az aktivációs adat, akkor az 
előfizetőt a kézbesítés várható körülményeirol (módja, várható időpontja) 
tájékoztatni kell, s a sikeres kézbesítést a címzettnek aláírásával igazolnia 
kell. Az aktivációs adat biztonságos tárolásáról is intézkedni kell. Legbiz- 
tonságosabb fejben megjegyezni az aktivációs adatot, nyíltan feljegyezni 
nem szabad. Biztonsági szinttől függően az aktivációs adat periodikus 
cseréje lehet szükséges. 


u Másolatkészítés: Előfizetői szinten a kulcsgondozás szabályozási lehető- 
ségei rendszertől függőek. Ha a szolgáltató a titkos kulcsot hardver to- 
kenben adta át, amelyet az előfizető másolni nem képes, akkor előfizetői 
szinten is kontrollálható a kulcsmásolás. A szolgáltatónak lehetősége van 
arra, hogy biztonsági másolatot készítsen előfizetői kérés alapján. Fájlokat 
ugyanakkor az előfizető is képes másolni. 

mu Nyilvános kulcs továbbítás: A fentiekben a titkos kulcs biztonsági szem- 
pontjait hangsúlyoztuk. Természetesen az előfizetői nyilvános kulcs to- 
vábbításáról is gondoskodni kell. Két esetet különböztetünk meg: (a) a 
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szolgáltató generálja a kulcspárt az előfizető számára, (b) az előfizető ál- 
lítja elő saját kulcsait. 

Az első esetben a szolgáltató a tanúsítvánnyal együtt küldi a kulcspárt. Ek- 
kor kiegészítő biztonsági megoldásként a token csak azután kerülhet akti- 
válásra (az aktiválási adatok elküldése útján), mihelyt az előfizető vissza- 
jelezte a token átvételét. Amennyiben az előfizető generálja a kulcspárját, 
a nyilvános kulcsát tanúsítványozásra el kell juttatnia a szolgáltatóhoz. 
Ennek tipikus módja lehet a mágneslemezen (floppy) postai, futár útján 
történő vagy a személyes továbbítás. 

A szolgáltató nyilvános kulcsának előfizetőhöz történő továbbítása a kö- 
vetkező módszerekkel történhet: 


-— továbbítás hardver token tartalmaként biztonságos, rendszeren kívüli 
úton, 

-— a nyilvános kulcs lenyomatának (hash értékének) rendszeren kívüli 
csatornán történő továbbítása. 

— a szolgáltató tanúsítványának letöltése a szolgáltató web oldaláról ab- 
ban az esetben, ha az előfizető böngészője megfelelő helyben rendel- 
kezésre álló megbízható tanúsítványokkal ellenőrizni képes a letöltött 
tanúsítvány hitelességét. 


Megsemmisítés, archiválás: A titkos kulcs életciklusának végállomása a 
megsemmisítés. Például szoftver modul esetén ez a fájl biztonságos felül- 
írását, célhardver modul esetén a kulcs elektronikus törlését jelentheti. A 
nyilvános kulcsok azonban tovább élnek, mint a titkos kulcsok, s a tanúsít- 
ványokkal archiválásra kerülnek (erre azért van szükség, hogy az előfizető 
által generált aláírásokat később is ellenőrizni lehessen). 

Kulcs-escrow: Léteznek megoldások arra, hogy egy megbízható harmadik 
fél kulcs-escrow szolgáltatást nyújtson, ami azt jelenti, hogy egy harma- 
dik fél képes a titkos kulcsot algoritmikusan rekonstruálni. Rendszertől, 
jogi szabályozástól függő, hogy ilyen technika alkalmazására sor kerül, 
egyáltalán sor kerülhet-e. 
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8.6. Informális protokoll-tervezési elvek 


Ebben a szakaszban 11 protokoll-tervezési elvben foglaljuk össze a kulcs- 
csere protokollokkal kapcsolatos eddigi ismereteinket, illetve a kulcscsere 
protokollok tervezése során elkövetett gyakori hibákkal kapcsolatos észre- 
vételeinket. Ezen protokoll-tervezési elveket tekinthetjük informális öl 1- 
szabályoknak is, melyek követésével számos gyakori protokoll-tervezési hi- 
bát elkerülhetünk. Ki szeretnénk hangsúlyozni azonban, hogy ezen tervezési 
elvek követése se nem szükséges, se nem elégséges feltétele a hibátlan pro- 
tokollok tervezésének. Azaz létezhet protokoll, mely valamelyik itt tárgyalt 
elvnek ellentmond, és mégsem hibás. És sajnos fordítva is: elképzelhető, 
hogy egy ezen elvek követésével tervezett protokoll mégis hibás lesz. Az 
utóbbinak azonban kicsi a valószínűsége, ezért az itt tárgyalt protokollterve- 
zési elveknek nagy a gyakorlati jelentősége. 

Valamilyen formában minden tervezési elv azt a követelményt fogalmazza 
meg, hogy a tervező legyen explicit. Az első elv általánosan a protokoll üze- 
neteinek tartalmára nézve mondja ki ezt a követelményt, a második pedig 
általánosan a protokoll által használt feltevésekre. A további kilenc elv az 
első kettő finomítása, konkrét protokolltervezési problémákra történő alkal- 
mazása. 





1. A protokoll üzeneteinek jelentése legyen egyértelmű; minden üzenet értel- 
mezhető legyen pusztán a tartalma alapján. 
Veszélyes lehet az, ha egy üzenet jelentése nem pusztán az üzenet tar- 
talmától, hanem az üzenet feldolgozásának kontextusától is függ, hiszen 
ekkor az üzenetet más kontextusba helyezve (pl. a protokoll egy másik 
példányában visszajátszva) az üzenet más, nagy valószínűséggel hibás ér- 
telmezést kaphat. Érdemes tehát a protokoll üzeneteit explicitté tenni, azaz 
minden olyan információt belehelyezni az üzenetbe, ami az üzenet he- 
lyes értelmezéséhez nélkülözhetetlen. Ehhez természetesen pontosan ér- 
teni kell az üzenet célját a protokollon belül. 

2. Az üzenetek feldolgozása során használt feltevések legyenek átgondolva, 
és képezzék a protokoll leírásának részét. 
Mivel a protokoll maga nem oldhat meg minden feladatot, ezért elen- 
gedhetetlen az, hogy ne használjon különböző feltevéseket. Sok proto- 
koll azonban a használt feltevésektől függően tekinthető helyesnek vagy 
hibásnak (azaz bizonyos feltevések mellett helyes, míg mások mellett hi- 
bás). Természetesen szeretnénk elkerülni azt, hogy egy adott feltételek 
mellett helyes protokollt olyan környezetben alkalmazzon valaki, mely- 
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ben a protokoll feltevései nem teljesülnek, hiszen így a protokoll helyes- 
sége az adott környezetben nem garantált. Ezt úgy segíthetjük, ha a proto- 
koll által használt feltevéseket explicitté tesszük, és ezzel megkönnyítjük 
annak ellenőrzését, hogy az adott alkalmazási környezetben a feltevések 
teljesülnek-e. A protokollt feltehetően úgyis tervezője érti a legjobban, így 
elvárható, hogy ő adja meg a protokoll által használt feltevések pontos le- 
írását is. 

3. Ha egy résztvevő azonosítója szükséges egy üzenet értelmezéséhez, akkor 
az üzenetnek tartalmaznia kell az azonosítót. 
Ez az elv az első elv finomítása. Gyakori hiba, hogy a protokoll tervezője 
úgy próbálja az üzenetek méretét csökkenteni, hogy kihagyja azokból a 
résztvevők azonosítóját, arra gondolva, hogy azok úgyis kitalálhatók ab- 
ból, hogy kik futtatják a protokollt. Ezáltal tehát az üzenetek értelmezése 
kontextusól függővé válik, és a legtöbb esetben a protokoll támadható- 
ságát vonja maga után. Erre a hibára számtalan példa található az iroda- 
lomban. Mi is találkoztunk vele a nyilvános kulcsú Needham-Schroeder- 
protokollnál. Továbbá, a 8.3.4. szakaszban, az aláírt kapcsolatkulcs rejtje- 
lezésére épülő protokollnál említettük, hogy fontos, hogy B azonosítóját 
tartalmazza az aláírás. Példaként vizsgáljuk most meg, hogy mi történne, 
ha ez nem így lenne: 





WD AGB: (AIKITATSA(KI TA) kg 
Ekkor a következő támadás lehetséges: 
AG X: (AIkI7AISA(kI 74) xx 
Xa 0 B: (AIKITATSA(K I TA) xy: 
A támadás menete a következő: Először az X rosszindulatú résztvevő rá- 
veszi A-t, hogy küldjön neki egy k kapcsolatkulcsot, majd ezt a k kulcsot 
továbbküldi B-nek A aláírásával együtt (az időpecsét érvényességi idején 
belül). Az eredmény az, hogy B azt hiszi, hogy a k kulcs közte és A között 
jött létre. 
B azonosítójának kihagyása az aláírásból tehát súlyos hibához vezet. A 
helyes protokoll a 8.3.4. szakaszban található. 

4. A rejtjelezés nem a biztonság szinonimája, sőt helytelen használata súlyos 
hibákhoz vezethet. Ezért legyen átgondolva, hogy ki, mit és miért rejtjelez. 
A rejtjelezés egy sokoldalúan használható kriptográfiai primitív, melyet 
többféle céllal is alkalmazhatunk egy protokollban. Ilyen célok lehetnek 
például a következők: 
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egy adatelem (pl. kulcs) titkosságának biztosítása, 

egy üzenet hitelességének biztosítása? , 

egy üzenet mezőinek összeláncolása, egymáshoz kötése3 , 
véletlenszámok generálása stb. 


Fontos, hogy a tervező tisztában legyen azzal, hogy hol és miért alkalmaz 
rejtjelezést. Tekintsük például a szimmetrikus kulcsú Needham-Schroe- 
der-protokollt. A második és harmadik üzenetben alkalmazott rejtjelezé- 
seknek több céljuk is van. Egyrészt biztosítják a kapcsolatkulcs titkossá- 
gát, másrészt egymáshoz kötik az üzenetek mezőit. Az első cél nyilvánva- 
lóan fontos, de a második cél is lényeges, hiszen A csak akkor tudja azt a 
következtetést levonni, hogy a k kulcs friss, ha az valamilyen módon az NA 
számhoz van kötve. Ha A a í(k)xas[(Na)xas üzenetet kapná a szervertől, 
akkor semmit nem tudna k frissességével kapcsolatban megállapítani. 
Figyeljük meg, hogy a Needham-Schroeder-protokoll negyedik és ötödik 
üzenetében a rejtjelezés egészen más szerepet tölt be. Itt a cél nem Ne rej- 
tése, és nincsenek mezők sem, amiket össze kellene láncolni. A rejtjelezés 
célja annak bizonyítása, hogy a felek ismerik a k kulcsot. Említettük azon- 
ban, hogy B már akkor tudja, hogy A ismeri k-t, mikor a harmadik üze- 
netet megkapja. Ezért az ötödik üzenet valójában felesleges. A rejtjelezés 
céljának köröltekintőbb átgondolásával tehát a tervezők egyszerűbb pro- 
tokollra jutottak volna. Egy másik lehetséges egyszerűsítést a Kerberos- 
protokoll mintájára tehetünk. Ez abból áll, hogy a második üzenetben nem 
alkalmazunk egymásba ágyazott rejtjelezést. Ekkor azonban szükség van 
az ötödik üzenetre. 


5. Rejtjelezett szöveg aláírása nem jelenti azt, hogy az aláíró ismeri a nyílt 
szöveget. 
Erre a 8.3.4. szakaszban már utaltunk, mikor a rejtjelezett kapcsolatkulcs 
aláírására épülő protokollt tárgyaltuk. Egy másik példaként tekintsünk egy 
olyan hozzáférés-védelmi rendszert, ahol egy erőforráshoz való hozzáfé- 
rés csak akkor biztosított, ha a felhasználó ismeri az erőforráshoz rendelt 
titkos jelszót. A jelszó védelme érdekében azt a felhasználó nem nyíl- 
tan küldi el az erőforrásnak, hanem annak nyilvános kulcsával rejtjelezi 


2 Ha az üzenet megfelelő redundanciát tartalmaz, akkor a szimmetrikus kulcsú rejtjelezés 
üzenet hitelesítést is biztosíthat, mert egy támadó a kulcs ismerete nélkül nem tudja úgy 
manipulálni a rejtjelezett üzenetet, hogy az helyes redundanciát tartalmazó nyílt üzenetet 
eredményezzen a dekódolás után. 


3 Ekkor feltételezzük, hogy a rejtjelezőt CBC, CFB, OFB vagy CTR módban használjuk. 
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azt, majd az üzenetet aláírásával hitelesíti. Mikor a szerver megkapja ezt 
az üzenetet, nem lehet biztos abban, hogy az aláíró ismeri a jelszót, és 
így jogosan szeretne hozzáférni az erőforráshoz, mert elképzelhető, hogy 
csak megszerezte az erőforrás nyilvános kulcsával rejtjelezett jelszót, és 
anélkül írta azt alá, hogy magát a jelszót ismerné. 


6. Legyen egyértelmű a protokoll által használt véletlenszámok szerepe. 
A rejtjelezéshez hasonlóan a véletlenszámok alkalmazása is többféle cél- 
lal történhet a protokollokban. Tipikus célok például a következők: 


un nem predikálható véletlenszám alkalmazása kihívásként a válasz fris- 
sességének bizonyítására, 

m véletlenszám használata tranzakció azonosítóként, 

m véletlenszám használata a protokoll résztvevőinek ideiglenes azono- 
sítására stb. 


Tekintsük például az Otway-Rees-protokollt: 





Otway-Rees-protokoll 


(1) AGB: MIAIBI(NAIMI AI B) kus 

2 BoOS: MIAIBIANIMIAI B) xas 1 AN 1 M 1 AI By .xgg 
6) SOB: MI(Nalkyxas I (Ne ] k).xgs 

(4) BOA: MI(NAlk)xas 








A protokoll részleteit most nem ismertetjük, megvizsgáljuk azonban a 
protokoll által használt véletlenszámok szerepét. A protokollban három 
véletlenszám van: M, NA, és Ng. M szerepe az aktuális protokollfutás 
azonosítása, tehát tranzakció-azonosítóként működik, ezért is jelenik meg 
minden üzenetben. Érdekes módon azonban a harmadik és a negyedik 
üzenetben M csak nyíltan kerül átvitelre, így azt gondolhatnánk, hogy a k 
kapcsolatkulcsot nem lehet biztosan az M által azonosított tranzakcióhoz 
kötni. Ez nem így van, mert az első és a második üzenetben található rejt- 
jelezések M-hez kötik N4-t és Np-t, a harmadik és a negyedik üzenetben 
található rejtjelezések pedig N4-hoz és Nz-hez kötik k-t. Hasonló okokból, 
A és B azonosítója is közvetett módon van a k kulcshoz kötve. NA és Np te- 
hát egyfelől hivatkozásként szolgál az M tranzakció-azonosítóra, valamint 
az A és B résztvevők azonosítójára, másfelől természetesen a k kulcs fris- 
sességét is hivatott bizonyítani. Ez a , túlterhelés" nem igazán szerencsés 
megoldás, mert nehezen átláthatóvá teszi a protokollt. Az alábbi protokoll 
egyszerűbb, tisztább megoldás, ahol minden véletlenszám célja azonnal 
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egyértelmű, a résztvevők azonosítója expliciten szerepel az üzenetekben 
(lásd 3. elv), ráadásul kevesebb rejtjelezésre van szükség: 





Módosított Otway-Rees-protokoll 


(0) AGB: AINA 

2) B—S: AIBINAINB 

6) ScB: (MIAIBIktkas [981418] ktxps 
(4) BOA: ÍNAJAIBIktxas 








. Legyünk óvatosak a predikálható elemek frissesség bizonyítására történő 
használatával. 
Egy régi üzenet visszajátszását egyszerű sorozatszámok (és kriptográfiai 
védelem, pl. üzenethitelesítés) alkalmazásával is detektálni lehet. Ez azt 
sugallja, hogy predikálható mennyiségek is használhatók üzenetek frisses- 
ségének bizonyítására. Óvatosan kell azonban bánni a predikálható ele- 
mek kihívásként történő használatával. Példaként tekintsük a következő 
óraszinkronizáló protokollt, melyben egy A résztvevő egy S időszervertől 
tölti le a pontos időt: 


(0) ASS: 
(2) s- 


AINA 
(NA IT) ras 


Ha NA nem predikálható, akkor a protokoll helyesen működik: NA ellen- 
őrzésével A ellenőrizni tudja S válaszának frissességét, sőt az első üzenet 
elküldése és a második üzenet vétele között eltelt idő mérésével felső kor- 
látot is kap 7 pontatlanságára vonatkozóan. 
Ezzel szemben, ha NA predikálható, akkor a protokoll nem biztonságos. 
Tegyük fel ugyanis, hogy az X támadó a T időpontban kitalálja A követ- 
kező Na értékét. Ennek ismeretében küld egy kérést §-nek, aki az 
(NA 1 T)xas üzenettel válaszol. Később, a 7" időpontban, mikor A elküldi 
NA-t tartalmazó kérését S-nek, akkor X elfogja a kérést, és S helyett ő vá- 
laszol S korábbi válaszának visszajátszásával. Az eredmény az lesz, hogy 
A helytelenül azt hiszi, hogy az idő T, miközben az már 7" 5 T. 

. Ha a protokoll időpecséteket használ, akkor gondoskodni kell az órák 
szinkronizálásáról. 
Több protokoll is időpecséteket használ üzenetei frissességének bizonyí- 
tására, illetve a visszajátszásos támadások detektálására. Ne feledkezzünk 
meg azonban arról, hogy ekkor a résztvevők óráit egy globális órához 
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kell szinkronizálni. Továbbá, az óraszinkronizáló protokoll nem használ- 
hat időpecséteket, hiszen azok ellenőrzése már szinkronizált órát igényel, 
És pont ezt a feladatot szeretnénk magával a protokollal megoldani. Így 
marad a friss véletlenszámok használata, mint például az előző elvnél tár- 
gyalt protokollnál. 

Megjegyezzük, hogy biztonsági szempontból mind a késő, mind a siető 
óra veszélyes lehet. Ha egy résztvevő órája késik, akkor például hibá- 
san elfogadhat már lejárt kulcstanúsítványokat, vagy Kerberos-jegyeket. 
Ha egy résztvevő órája siet, akkor a T időpontban aláírhat egy üzenetet 
T" 5 T időpecséttel, amit egy támadó a később a 7" időpontban sikerrel 
felhasználhat. 


. Egy mostanában használt kulcs nem feltétlenül friss. 


Ezen elv fontosságára a szimmetrikus kulcsú Needham-Schroeder-proto- 
koll hibája hívja fel a figyelmet. A kapcsolódó támadást a protokoll tár- 
gyalásánál bemutattuk, így azzal itt most nem foglalkozunk. 


. Minden üzenetről legyen megállapítható, hogy az melyik protokoll, melyik 


példányának, melyik üzenete. 

Ez ismét az 1. elv explicit üzenetekre vonatkozó követelményének finomí- 
tása. Ezen elv fontosságának megértésére a Wide-Mouth-Frog-protokoll 
elleni támadás szolgáltat példát. A Wide-Mouth-Frog-protokoll azért tá- 
madható, mert a protokoll első üzenete felhasználható második üzenet- 
ként egy másik protokoll-példányban, és fordítva. Más szavakkal, az üze- 
netek nem tartalmaznak explicit információt, ami alapján meg lehet állapí- 
tani, hogy a protokoll első vagy a második üzenetéről van szó. A javításnál 
használt irányjelző bitek explicitté teszik az üzenet szándékolt irányát, és 
a támadás meghiúsul. 





Kiegészített Wide-Mouth-Frog-protokoll 


(0) AGS: AJf"WideMouthFrog$1"(B]k I TA)xas 
(2) S-B: ("WideMouthFrogf2"JAJk] Ts)xus 








Fontos még megjegyezni azt is, hogy nemcsak egyazon protokoll külön- 
böző üzenetírészjei lehetnek egymással felcserélhetők. A támadó próbál- 
kozhat különböző protokollok üzeneteinek felcserélésével is. Ezért hasz- 
nos lehet valamilyen protokoll-azonosítót elhelyezni a protokoll üzenetei- 
ben. Az azonosító globális egyediségének biztosítása persze szabványo- 
sítási kérdéseket vet fel, de erre praktikusan úgysincs szükség. Már egy 
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egyszerű, a protokoll nevére utaló ASCII sztring is minimálisra csökkenti 
a visszaélések lehetőségét. 

11. A megbízhatósággal kapcsolatos feltevések legyenek átgondolva és expli- 
citté téve. 
Ez az elv a 2. elv finomítása, és arra hívja fel a figyelmet, hogy a részt- 
vevők megbízhatóságával kapcsolatos feltevések tisztázására különös fi- 
gyelmet kell fordítani. Egy adott protokoll látszólag minden tekintetben 
megfelelhet egy adott alkalmazási környezetben, de ha a résztvevők meg- 
bízhatóságával kapcsolatos feltevések nem teljesülnek, akkor a protokoll 
alkalmazása súlyos hibákhoz vezethez. Például tekintsük a Wide-Mouth- 
Frog-protokollt, ahol A generálja a kapcsolatkulcsot. Emiatt a protokollt 
valószínűleg nem tanácsos egy mobil-telefon alkalmazásban használni 
úgy, hogy a mobil játsza A szerepét, mert kérdéses, hogy a mobil készülék 
megfelelő minőségű kriptográfiai kulcsot tud-e generálni. 





8.7. . Kulcscsere protokollok formális ellenőrzése és a BAN-logika 


Az eddigiekből kiderült, hogy a kulcscsere protokollok hibái nem mindig 
nyilvánvalóak, és néha csak körmönfont támadásokkal lehet őket kihasz- 
nálni. Ebből azonban az is következik, hogy a hibák felfedezése általában 
nem egyszerű feladat. Ezen problémára megoldást jelenthet valamilyen 
szisztematikus protokoll-ellenőrzési módszer használata. Ebben a szakasz- 
ban egy ilyen módszert mutatunk be. 

Burrows, Abadi, és Needham 1989-ben publikált egy formális módszert 
kulcscsere és partner-hitelesítési protokollok ellenőrzésére, mely BAN-logi- 
ka néven vált ismertté (a szerzők kezdőbetűi után). A BAN-logika viszony- 
lag egyszerű és intuitív, ezért hamar kedveltté vált a protokoll-tervezők kö- 
rében. A BAN-logika több szempontból is jelentős lépés volt a biztonságos 
protokollok tervezésében. Egyrészt a protokollokban használt alapelvek for- 
malizálásával segítette azok jobb megértését és ezen keresztül a tervezést. 
Másrészt lehetővé tette konkrét protokollok szisztematikus elemzését. Ezt 
kihasználva a BAN-logikát többen sikerrel alkalmazták ismert protokollok 
hibáinak felfedezésére. Végül elindított egy új kutatási területet , nevezete- 
sen a formális mód$zerek alkalmazását kriptográfiai protokollok ellenőrzé- 


4 Bár a BAN-logika előtt léteztek már kezdeti próbálkozások kriptográfiai protokollok for- 
mális ellenőrzésére, azok nem voltak olyan egyszerűek és intuitívak, mint a BAN-logika, így 
nem terjedtek el. A BAN-logika volt az első, ami valóban széles körben elterjedt, és számos 
új formális módszer kidolgozását inspirálta. Ezért joggal tekinthetjük úgy, hogy gyakorlati- 
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sére. Ez a terület azóta számos új módszerrel gyarapodott, és mára éretté 
vált. 

A BAN-logika alapötlete a következő. Egy kulcscsere protokoll célja lé- 
nyegében az, hogy egymástól távoli legális felek meggyőzzék egymást a 
kapcsolatkulcs hitelességéről. Mivel a felek fizikailag erről nem tudnak meg- 
győződni, ezért támaszkodniuk kell a távoli fél által közölt információkra, s 
ezek alapján kell az adott hitelességbe vetett bizalmukat olyan szintre emelni, 
amely már elfogadható számukra, azaz már hisznek benne. Ezen felfogásban 
tehát a protokoll nem más, mint egy bizalom (vagy hit) evolúciója a kom- 
munikáció során, az induló feltevésektől kezdődően, a protokoll lépésein ke- 
resztül, a protokoll által elért célokig. A BAN-logika tehát azt vizsgálja, hogy 
a protokoll tervezett használata során, azaz amikor a protokollt legális és be- 
csületes felek hajtják végre, a protokoll eléri-e a kívánt (specifikált) célokat 
a felekben kialalkult hit tekintetében. Ez elég temészetes hozzáállás, hiszen 
ha a protokoll ez esetben sem valósítja meg a célját, akkor alapvetően nem 
alkalmas a feladatára. Ha a célokat reprezentáló, a felek hitére vonatkozó 
állítások a BAN-logikában levezethetőek a protokollból, akkor a protokollt 
helyesnek fogadjuk el (lásd azonban a 8.7.4. szakaszt). 

A BAN-logika egy nyelvből és következtetési szabályok egy halmazából 
áll. A nyelv segítségével logikai állítások formájábán írhatók le a protokoll 
által használt feltevések, a protokoll kitűzött céljai és a protokoll lépései. A 
következtetési szabályok segítségével rendelkezésre álló logikai formulák- 
ból újabb formulákat vezethetünk le. Az analízis célja, hogy megmutassuk, 
hogy a feltevéseket és a protokoll lépéseit reprezentáló formulákból levezet- 
hetőek a protokoll céljait leíró formulák. A továbbiakban részletesen bemu- 
tatjuk a BAN-logika nyelvét és következtetési szabályait, majd ismertetjük 
a BAN logikai használatának metodikáját. Ezután egy példán keresztül il- 
lusztráljuk a BAN-logika használatát. Végül röviden kitérünk a BAN-logika 
korlátaira. 


8.7.1. . A BAN-logika nyelve és következtetési szabályai 


Nyelv. Ebben a szakaszban a résztvevőket P-vel és 0-val, a szimmetrikus 
kulcsokat K-val, a nyilvános és a privát kulcsokat K(r0)-bal és K(0)-kel 
(a tulajdonosra vonatkozó indexszel kiegészítve), az üzeneteket M-mel, a 
logikai formulákat pedig P-vel fogjuk jelölni. Megengedjük továbbá, hogy 


lag a BAN-logika indította el a kriptográfiai protokollok formális ellenőrzésével foglalkozó 
kutatási területet. 
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az üzenetek logikai formulákat is tartalmazzanak. A (.)x jelölés továbbra is 
rejtjelezést jelent, ha k egy szimmetrikus kulcs vagy egy nyilvános kulcs, és 
aláírást fog jelenteni, ha k egy privát kulcs. 
A BAN-logika nyelve a következő alapelemekből felépülő nyelv: 
u P aM(P látja M-et) 
Ez a formula akkor igaz, ha P kapott valamilyen üzenetet, ami P által hoz- 
záférhető formában tartalmazta M-et. Ezt a konstrukciót fogjuk használni 


annak az eseménynek a leírására, mikor egy protokollrésztvevő vesz egy 
protokoll üzenetet. 


u PI. M (az M üzenetírész) P-től származik) 
Ez a formula azt jelenti, hogy P valamikor küldött egy M-et tartalmazó 
üzenetet. Fontos megjegyezni, hogy ezen formula érvényessége nem ga- 
rantálja M frissességét, azaz nem tudjuk pontosan, hogy P mikor mondta 
M-et. 


m H(M) (az M üzenet friss) 
Ez a formula akkor igaz, ha M friss. A BAN-logikában az idő két részre 
van osztva: jelenre és múltra. Minden, ami az aktuálisan elemzett pro- 
tokoll futás kezdete előtt történt, a múlthoz tartozik, és minden, ami a 
protokoll kezdete óta történt, a jelen része. Az M üzenetírész) akkor friss, 
ha a múltban még soha nem használták. Tipikusan a frissen generált vé- 
letlenszámokat, kulcsokat és időpecséteket szoktuk frissnek tekinteni az 
analízis során. 

a PH $(P elhiszi a P állítás) 
Ezt a nyelvi konstrukciót használjuk annak a ténynek a leírására, hogy a 
P résztvevő elhiszi a b logikai formula által reprezentált állítást. P EP 
igaz voltából még nem következik, hogy a ő állítás igaz. P H P csupán 
annyit jelent, hogy P — eddigi ismeretei (azaz aktuális állapota) alapján — 
igaznak fogadja el $-t, és ennek fnegfelelően cselekszik a protokollban. 

un Pl $(P kompetens a b állítás igazságának eldöntésében) 
Ezen típusú formuláknak elsődleges szerepe van a különböző bizalom- 
mal kapcsolatos feltevések leírásában. Például, ha B egy a kapcsolatkulcs 
frissességére vonatkozó állítás, és § a kapcsolatkulcsot generáló szerver, 
akkor az A F (Sp 2) állítás azt fejezi ki, hogy A megbízik abban, hogy 
5 friss kulcsokat generál. 





u P.E 0(K egy titkos szimmetrikus kulcs P és 0 között) 
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Ez a formula a kulcshitelesség leírására szolgál, és azt fejezi ki, hogy a 
K kulcshoz P-n és 0-n (valamint esetleges megbízható harmadik feleken) 
kívül más nem férhet hozzá. A K kulcs lehet egy hosszú élettartamú szim- 
metrikus kulcs, vagy a protokoll által létrehozott kapósolatkulcs. 


v(pub) 
n PP nyilvános kulcsa K(Pb)) 
Ez a formula azt a tényt írja le, hogy P nyilvános kulcsa K(Ptb), Ez egyúttal 
aztis jelenti, hogy a Kpr0).hoz tartozó K("0) privát kulcsot csak P ismeri. 


Következtetési szabályok. A BAN-logika szabályai lényegében a kriptográ- 
fiai primitívek (elsősorban a rejtjelezés és a digitális aláírás), és a protokoll 
üzenetek vétele során alkalmazott egyszerű feldolgozási szabályok működé- 
sét, tulajdonságait írják le absztrakt módon. A főbb következtetési szabályok 
a következők: 


n HaP kap egy M üzenetet, mely a K kulccsal van rejtjelezve, és P megbízik 
abban, hogy K-t rajta kívül csak 0 ismeri, akkor P biztos lehet abban, 
hogy M-et 0 küldte5: 


PE(PS 0), P a(M)x 
PE(ORM) 


u Hasonlóképpen, ha P kap egy digitálisan aláírt M üzenetet, ahol a digitális 
aláírás 0 nyilvános kulcsával, K(Pb).bal sikeresen ellenőrizhető, akkor P 
biztos lehet abban, hogy M 0-tól származik: 


PECS 0), P a (Mlitvó 
PE(ORMY 


m Minden résztvevő megbízik abban, hogy a másik résztvevő becsületes, 
abban az értelemben, hogy csak olyan dolgokat állít, amiben hisz. Azaz, 
ha P kap egy friss b formulát tartalmazó üzenetet 0-tól, akkor P biztos 
benne, hogy 0 a ő állítást igaznak tartja: 


PE(OFDPEHD 
PE(2E?) 
5 Feltételezzük, hogy M elegendő redundanciát tartalmaz ahhoz, hogy P meg tudja állapí- 


tani, hogy jó kulcsot használt a dekódoláshoz, továbbá P felismeri és eldobja a saját maga 
által generált üzeneteket. 
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u HaP azt hiszi, hogy O igaznak tartja b-t, és P megbízik abban, hogy 0 
kompetens $ igazságának eldöntésében, akkor nyilván P is el kell hogy 


higgye $-t: 
PE(2EF8)PE(2R 9) 
PEkb 7 

u A következő két szabály a több részből álló üzenetek feldolgozására vo- 
natkozik. Az első azt mondja ki, hogy ha P vesz egy összetett üzenetet, 
akkor látja annak minden részét. A második szabály pedig azt mondja ki, 
hogy ha P azt hiszi, hogy egy összetett üzenet 0-tól származik, akkor úgy 
tekinti, hogy az üzenet minden része 0-tól származik: 


P aMIM" 
P aM, P aM" 


PE (Ok MIM) 
PE(2LM)PE(ORMY 


u Egy üzenetet akkor tekinthetünk frissnek, ha tartalmaz friss elemet: 


PEt(M) 
PE (MIMIM) 


u Ha olyan üzenetet kap, ami számára ismert szimmetrikus kulccsal vagy 
saját publikus kulcsával van rejtjelezve, akkor P dekódolni tudja az üzene- 
tet és látja a nyílt üzenet tartalmát. Továbbá, az aláírt üzenetek tartalmához 
bárki hozzáférhet: 


P (Me PE(PÉD 
PaM , 
P a (Mo. PE(EP) 
PaM j 
P a(Mh rio 
VM PaM " 





u Végül, a következő szabályok a E operátor tulajdonságait írják le: 


PEG,PEk9W 
PE(PAP)" 
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PE($A9) 
PEGPEd" 


PE(OF9)PE(OKk9) 
PEGEGAB))  ? 


PEF(OE($A 9) 
PE(2E9DPE(OEPY 


8.7.2. . A BAN-logika használata 


A BAN-logika használatának sémáját a 8.2. ábrán láthatjuk. A protokoll 
megszokott formában megadott informális leírásából indulunk ki, amit egy 
formális leírássá transzformálunk. Ez azt jelenti, hogy a protokoll üzeneteit 
a jelentésüket tükröző logikai formulákkal egészítjük ki. Ezt a lépést idea- 
lizációnak is nevezzük, mert az így nyert formális leírás a protokoll ideális 
leírása abban az értelemben, hogy minden üzenet expliciten tartalmazza az 
üzenet jelentését, és nem az üzenet adatmezőiből kell arra következtetni. 











Protokoll 


formális 
Protokoll 









feltevések 


8.2. ábra. A BAN-logika használatának sémája 


Az idealizációnak nincsenek formális szabályai. Ahhoz, hogy az ideali- 
zációt végre tudjuk hajtani, valamilyen szinten már érteni kell a protokollt, 
hiszen csak így tudjuk kiegészíteni azt az üzenetek vélt jelentését tükröző 
formulákkal. Ökölszabályként azt mondhatjuk, hogy egy M üzenetírész) egy 
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B(M) formulával egészíthető ki, ha M vételekor a vevő arra a következte- 
tésre juthat, hogy a küldő $(M)-et igaznak tartotta, mikor M-et elküldte. 
Ezenkívül az idealizált üzenetekből kihagyhatunk minden olyan részt, ami 
nem járul hozzá a vevő hitének fejlődéséhez, különös tekintettel a nyílt adat- 
elemekre. Miután egy adott M üzenetet a megfelelő $(M) formulával kiegé- 
szítettünk, a protokoll 
() PoOO: M 

lépését a 0 a MI$(M) formulával helyettesítjük. 

A protokoll üzenetein kívül, a protokoll által használt feltevéseket és a 
protokoll céljait is logikai állítások formájában kell megfogalmaznunk. Ez 
általában egyszerűbb feladat, mint a protokoll idealizációja, mert a feltevések 
És a célok sok protokollnál megegyeznek, így ismert séma szerint felírhatók. 
Tipikus feltevések például a következők: 


u Már létezik egy hosszú élettartamú Kas kulcs A és 5 között: A F (A £ 5) 
ésSE(A S 59. 


Kíreb) 
u A ismeri B nyilvános kulcsát, KPD a; AE(5 B). 


u A megbízik §-ben, hogy az friss kapcsolatkulcsokat generál A és B szá- 
mára, és nem fedi azt fel senkinek, csak A-nak és B-nek: A F (SP (K)) 


éAk (SP (AZ B). 
u A frissnek tartja a saját maga által generált NA friss véletlenszámot: A E 
H(NA). 


u A ellenőrizni tud bármilyen 7 időpecsétet: A F (7). 
A protokoll céljai közé tartozik általában 





u az implicit kulcshitelesítés: A F (A $ B), 
u a kulcskonfirmáció: A F (B E (A  B)), 
u és a kulcsírissesség biztosítása: A F $(K). 


Miután a protokollt idealizáltuk, és a feltevéseket és célokat formálisan 
leírtuk, elkezdjük a protoköll annotálását. Legyen az idealizált protokoll a 
következő: 

B aMild1(Mi) 
A aMal$2(m2) 


A a MlDa(M,). 
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A protokoll minden sora után leírjuk azokat a formulákat, melyek a pro- 
tokoll adott pontján érvényesek (igazak). Az első sor elé kerül a protokoll 
feltevéseinek halmaza, melyet 5So-lal jelölünk. Az első sor után azon formu- 
lák Si halmazát írjuk, melyek a következtetési szabályok segítségével leve- 
zethetők az So U (B a Mil61(M1)) halmaz formuláiból. Hasonlóképpen, a 
második sor után azon formulák S2 halmaza kerül, melyek levezethetők az 
S1U(A a M2]$2(M2)) halmaz formuláiból, és így tovább: 


So 
B aMil$1(Mi) 


Si 
A a Mal$2(M2) 
52 


A aMalD.(M) 

§Sn- 
Ha S, tartalmazza az összes cél formuláját, akkor az ellenőrzés sikeres. Ha 
S, nem tartalmazza valamelyik célt, akkor a protokoll hibás, és az analízis 
gyakran rámutat arra is, hogy hol a hiba, és hogyan lehetne azt kijavítani. 


8.7.3. . A Needham-Schroeder-protokoll BAN-analízise 


Példaként most bemutatjuk a szimmetrikus kulcsú Needham-Schroeder-pro- 
tokoll (leírást lásd a 8.3.2. szakaszban) BAN-analízisét. Kezdjük mindjárt a 
protokoll idealizációjával: 


MD A a (NMAIBIKIAÉ BIR [KT ATA 6 BAK) ) kas kás 
(M3) B a(kIATAÖ BIR) kos 

(M4) A a(NRlAÉ B] 

(M5) A a(Np—IJAÉ Ba. 


Az első üzenet nem jelenik meg az idealizációban, mert az csak nyílt ele- 
meket tartalmaz, így az üzenet vevője semmiféle következtetést nem tud le- 
vonni az üzenet küldőjére vonatkozóan. A második és harmadik üzenet idea- 
lizációja magáért beszél. Ezeket az üzeneteket azokkal a formulákkal egé- 
szítettük ki, melyek leírják, hogy az S szerver mit is akart A és B tudtára adni 
ezen üzenetekkel. Érdekes a negyedik és ötödik üzenet idealizáltja, mert ezen 
üzenetek olyan formulával egészültek ki, melynek semmi köze az üzenet Ng 
tartalmához. Van viszont köze ahhoz a k kulcshoz, mellyel ezen üzenetek 
rejtjelezve vannak. Ezen üzenetek célja lényegében az, hogy a felek egymás 
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tudtára adják, hogy elfogadták a k kapcsolatkulcsot mint a köztük letrejött 
közös titkot. Ezt a jelentést hordozzák a kiegészítésként használt formulák. 
A Needham-Schroeder-protokoll feltevései a következők: 


(AD AR(AS 5), 

(AD) SE(AS S) 

(AD, BE(BS 5), 

(Ag Sp(BÉS 5), 

(AD), AF(SP (46 B)), 

(A6) BE(SR(A£B)), 

(A7), AF (SP $(4)), 

(AB) BE (SP (4), 

(A9) A E H(NA), 

(A10) BE $(Np), 
(AI) SEF(AÉ B) 
(A12) SE H(K). 

Az (A1)—(A4) feltevések a már létező, hosszú élettartamú kulcsokra vo- 
natkoznak. Az (A5)-(A8) feltevések A és B bizalmát írják le §-ben, a tekin- 
tetben, hogy S megfelelő friss kulcsot generál, és nem fedi azt fel másnak 
A-n és B-n kívül. Az (A9) és (A10) feltevések a protokollban használt vélet- 
lenszámok frissességére vonatkoznak. Vegyük észre, hogy mindkét fél csak 
a saját maga által generált véletlenszám frissességében bízik meg. Végül az 
(A11) és (A12) feltevések azt fejezik ki, hogy maga S hisz a generált k kap- 
csolatkulcs jóságában és frisssességében. Figyeljük meg azonban, hogy sem 
A-ra, sem B-re vonatkozóan nincs hasonló feltevés, hiszen ez a protokoll el- 
érni kívánt céljai közé tartozik. 

A Needham-Schroeder-protokoll tárgyalásánál említettük, hogy a proto- 
koll célja az explicit kulcshitelesítés és a kulcsfrissesség biztosítása. Formá- 
lisan: 


(GD Ap(AS B), 

(G2 BE(AÉB) 

(G3) AR(BE(AÉ B), 

(GY BE(AR(AÉB)), 

(G5) A t(4), 

(G6) BE H(4). 

A (G1) és (G2) célok az implicit kulcshitelesítést írják le, míg a (G3) és 

(G4) célok a kulcskonfirmációra vonatkoznak. Együttesen tehát a (G1)-(G4) 
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célok elérése kölcsönös explicit kulcshitelesítést jelent. A (G5) és a (G6) 
célok a kulcsfrissességet írják le A, illetve B számára. 

Most próbáljuk meg a protokollt analizálni a fent leírt módszerrel! Az 
(M2) formulából és a feltevésekből a következőket lehet levezetni: 


(M2) A a(NAIBIKIAÉ BIH(K) TAKI ATA E BI HK) )kgg) as 
(AD Ak(A€5) 
DD AF(SE IMI BIKIAÉ BI HK [(KIATA Ó BIR) Jas]; 





(A9) A (NA) 
DJ AFH(MIBIKIAÉBIHK [KT ATA E BI HR); 





DD AF(SEIMIBIKIAÉBIH(K) [(kTATA E BIR) xs]) 
2) AFH(MIBIKIAÉ BIH(KTAKTATA 8 BIR) kp) 
D3 AF(Sk(AÉB)) 

DAF (SE (4); 





03) Ak(SE(ASB)) 
(AD) AF(SP (AB) 
(D5) AF(A6 B); 


(D4) AE(SE(4)) 
(AD AE(SR (4) 


(D6) AE H(K). 


"Vegyük észre, hogy (D5) és (D6) megegyezik (G1)-gyel és (G5)-tel, azaz 
A számára teljesül az implicit kulcshitelesítés, és biztosítva van a kulcsfris- 
sesség. Folytassuk az analízist az (M3) formula feldolgozásával: 


(M3) B aí(kIALA E BIH(K) ) es 
(AZ) BE(BÉ 5) 
(7 BE(SEIKIATA É B1 (4). 
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Sajnos az analízis itt elakad. Nincs olyan szabály, melynek segítségével a 
rendelkezésre álló formulákból le tudnánk vezetni a kívánt 


BE H(KIAJAÉBIH(k)) 


formulát. Azaz detektáltuk a Needham-Schroeder-protokoll ismert hibáját, 
nevezetesen azt, hogy B nem kap semmilyen friss elemet, mely alapján S 
üzenetének frissességéről meggyőződhetne. 

Nézzük most meg, hogy mi történne, ha a fenti formulát mégis le tudnánk 
vezetni: 


DD) BE(SE[kIAlAÉBIH(]) 
(ED BEH(KIALAÉ BIH(K)) 


(D8) BE(SE(AÉB)) 
(09) BE(SEH(K)); 





8) BE(SE(AÉB)) 
(AG) BE(SR (MAÓ B) 
(DI0) BE(AÉ B); 


09 BE(SE (4) 
(A8) BE(Sb H(4)) 
(DID BE HK). 
(D10) és (D11) megegyezik (G2)-vel és (G6)-tal, azaz ha (H)-t le tudnánk 


vezetni, akkor a protokoll B számára is biztosítaná az implicit kulcshitelesí- 
tést és a kulcsfrissességet. Folytassuk az (M4) formulával: 


(M4) A a (NlAÉ B 
(D5) AER(AÉ B) 
(D12) AE (BB INelA És B; 





(D6) AE (4) 
DI3) AFH(NglAÉ B); 
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DID Ak(Bk [NlAÉ B) 
(DI3) AE H(NplAÉ B) 
(DI) AER(BE(AÉ B). ja 





Az utolsó üzenetet hatását hasonló módon elemezhetjük: 


(M5) A a(Ng—IJAÉ B] 
(DI0) BF(AS B) 

(DID BE t(4) 

(DI5) BE(AF (A É B). 


(D14) és (D15) megegyezik (G3)-mal és (G4)-gyel, vagyis a protokoll 
mindkét fél számára biztosítja a kulcskonfirmációt (feltéve, hogy (H) tel- 
jesül). Érdekes megfigyelni, hogy a levezetés során nem használtuk fel az 
(A10) feltevést, azaz nem szükséges, hogy B egy friss véletlenszámot küld- 
jön A-nak a protokoll negyedik üzenetében. A kapcsolatkulcs frissessége ga- 
rantálja a negyedik és az ötödik üzenet frissességét, így egy ismert publikus 
üzenetet is használhatnánk N; helyett. 

Azt is észrevehetjük, hogy a második üzenet.egymásba ágyazott rejtje- 
lezésének nincs különösebb hatása a levezetésre. Ez egyrészt alátámasztja 
azt, hogy nincs szükség az egymásba ágyazott rejtjelezésre, másrészt viszont 
meglepő, hogy az (M3) formula felhasználásánál még nem tudjuk levezetni 
a kulcskonfirmációt jelentő (G4) célt, pedig korábban úgy érveltünk, hogy 
ezen a ponton B tudja, hogy A már ismeri a k kulcsot, és elfogadta azt, külön- 
ben nem küldte volna el a protokoll harmadik üzenetét. Ez a BAN-logika egy 
hiányosságára utal, nevezetesen arra, hogy az idealizálás során csak az üze- 
netek tartalmát egészíthetjük ki logikai formulákkal, az üzenetküldés puszta 
tényéhez azonban nem csatolhatunk jelentést. Ez a gondolat átvezet minket 
a következő szakaszba, ahol a BAN logikai korlátait tárgyaljuk. 


8.7.4. A BAN-logika korlátai 


A BAN-logika lényegében egy absztrakt modell, és mint minden modell, 
a BAN-logika is egyszerűsítő. A valóság leegyszerűsítése azonban a BAN- 
logika esetében az analízis-képességekkel kapcsolatos korlátokhoz vezet. A 
BAN-logikát (és bármely más formális modellt is) csak az tudja helyesen 
használni, azaz az analízisből helyes következtetéseket levonni, aki tisztában 
van a korlátaival. Ezért fontos ezen korlátok áttekintése. 


8. Kulcscsere protokollok 217 


Az első dolog, amit mindig szem előtt kell tartani, a BAN-logika által 
használt feltevések halmaza. A BAN-logika feltételezi például, hogy a krip- 
tográfiai primitívek tökéletesen biztonságosak. Ez összhangban van ugyan a 
protokollok vizsgálata során gyakran alkalmazott támadó modellel, de érde- 
mes emlékezni rá. Egy másik feltevés, hogy minden rejtjelezett üzenet ele- 
gendő redundanciát tartalmaz ahhoz, hogy a vevő meg tudja állapítani, hogy 
a jó kulcsot használta-e a dekódolásnál. A Needham-Schroeder-protokoll 
negyedik üzenetében például B az (Ng)x rejtett szöveget küldi A-nak, ahol 
Ny egy véletlen szám. A BAN-logika szintjén ez nem jelent problémát, azaz 
mikor A dekódolja az üzenetet, akkor meg tudja állapítani, hogy a dekódolás 
sikeres volt-e vagy sem. Egy konkrét implementációban azonban nagy hiba 
volna pusztán egy véletlenszámot rejtjelezni. 

Egy még ennél is erősebb feltevés, hogy minden résztvevő felismeri a 
saját maga által generált üzeneteket és azokat nem fogadja el. Ezzel a BAN- 
logika lényegében kizárja a visszajátszásos támadások nagy részének lehe- 
tőségét. Más szavakkal a BAN-logika nem mindig detektál olyan támadáso- 
kat, ahol egy becsületes résztvevő a saját üzenetét kapja vissza a támadótól. 
Könnyen ellenőrizhető például, hogy a Wide-Mouth-Frog-protokoll BAN- 
analízise nem detektálja a protokollnál tárgyalt támadást. Ezért az ellenőr- 
zést végzőnek az ilyen jellegű támadások elleni ellenállóképességet külön 
kell ellenőriznie. 

A BAN-logika egy másik korlátja az idő egyszerű reprezentálásából fa- 
kad. A BAN-logikában minden, ami az aktuális protokollfutás alatt történt 
friss eseménynek számít. Ezért, ha a támadó egy protokollfutáson belül ismé- 
tel meg üzeneteket, akkor azt a BAN-logika nem mindig detektálja. Az idő 
leegyszerűsített kezelése ugyanakkor a BAN-logika egyszerűségének talán 
egyik legfőbb oka, ezért a logika használhatóságának szemszögéből nézve 
előnyös tulajdonság. 

A BAN-logika feltételezi, hogy a protokoll résztvevői becsületesek. Ez azt 
jelenti, hogy a résztvevők csak olyan állításokat tesznek, melyek igazában 
maguk is hisznek. Tekintsük például a következő protokollt: 


Nessett-protokoll 
(4) AB: (BIK I TA eto 
2 BOA: (fh 


Ha az első üzenetet a korábbi mintákat követve idealizáljuk, akkor a kö- 
vetkező formulára jutunk: 
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B a(BIKI7TA IA S BIR] jo 
XN 

Eztés a szokásos feltevéseket felhasználva, a következtetési szabályok alkal- 
mazásával le tudjuk vezetni a protokoll helyességét bizonyító B E (A 4 B) 
állítást. A BAN-analízis alapján tehát a protokollt helyesnek tekinthetjük. 
Ugyanakkor a protokoll egyértelműen hibás, hiszen A nyilvános kulcsának 
ismeretében bárki hozzájuthat a k kulcshoz. A hibát az analízis során kö- 
vettük el, mégpedig akkor, amikor a fenti formulával idealizáltuk a proto- 
koll első üzenetét. Ez ugyanis ellentmond a BAN-logika azon feltevésének, 
hogy minden résztvevő igaznak tartja amit állít: A nem tarthatja igaznak az 
ASB állítást, miközben ő maga publikálja k-t az első üzenetben. E példa 
tanulsága kettős. Egyrészt arra hívja fel a figyelmet, hogy az idealizációnál 
körültekintően kell eljárni, és meg kell győződni arról, hogy az üzenetek ki- 
egészítéseként alkalmazott formulákat az azokat küldő résztvevők valóban 
igaznak tarthatják-e az üzenet elküldésének pillanatában. Másrészt, az ál- 
talánosabb tanulság az, hogy a BAN-logika nem képes olyan támadásokat 
detektálni, melyet egy legális, de rosszindulatú résztvevő hajt végre, akiről a 
többi résztvevő helytelenül azt feltételezi, hogy becsületes. Utóbbira további 
példa a nyilvános kulcsú Needham-Schroeder-protokoll elleni támadás, me- 
lyet szintén nem detektál a BAN-logika. Ez azonban olyan körmönfont tá- 
madás, hogy még az idealizáció hibás volta sem olyan szembetűnő, mint a 
fenti Nessett-protokoll esetében. 

Megemlítjük még, hogy a BAN-logikában a hitek stabilak, ami azt jelenti, 
hogy ha egy résztvevő egyszer elhitt valamit, akkor később már nem gondol- 
hatja meg magát. Más szavakkal, ha egyszer levezettük a P E $ formulát, 
akkor az véglegesen bentmarad a rendelkezésre álló formulák halmazában, 
tehát sosem veszti érvényét. Ez ismét a BAN-logika egy egyszerűsítő felte- 
vése, mely magát a logikát könnyen használhatóvá teszi, ugyanakkor bizo- 
nyos támadásokat emiatt nem detektál a logika. 

Végül kitérünk az idealizációra mint a BAN-logika egyik legnagyobb 
gyakorlati korlátjára. Minden formális módszer alkalmazása megköveteli, 
hogy a problémát először az adott módszer nyelvén írjuk le. A valós prob- 
léma formális leírása azonban nem minden módszer esetében egyforma ne- 
hézségű feladat. Ebből a szempontból a BAN-logika egy nehezen használ- 
ható módszer, mert az idealizáció szubjektív, kreativitást igénylő folyamat, 
és ezért sok hibalehetőséget rejt magában. Ha pedig egyszer az idealizációt 
elrontottuk, akkor az analízis eredménye már haszontalan. Sajnos azonban 
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nincsen módszer arra, hogy magának az idealizációnak a helyességét ellen- 
őrizzük. Így marad a bizonytalanság. 

Korlátai ellenére a BAN-logikát mégis nagy sikerrel alkalmazták több is- 
mert protokoll analízisére is, és nemegyszer hibát is sikerült találni vele he- 
lyesnek hitt protokollokban. Ezért a BAN-logika végül is nagyon hasznos 
eszköz. Nem szabad azonban elfeledkezni a BAN-logika korlátairól: egy 
BAN-logika által helyesnek ítélt protokoll még lehet támadható egy olyan 
támadó által, vagy egy olyan módon, melyet a BAN alapfeltevései kizárnak. 


8.8. Feladatok 


8.1. Feladat. Anna és Béla egy olyan kommunikációs csatornát használnak, 
amelyen áthaladó rejtett üzeneteket Cili hallgatja, s tárolja. A rejtjelezés nyil- 
vános kulcsú módszerrel történik. Cili egy napon betör Anna és Béla szá- 
míitógépébe, s az ott található titkos kulcsot megszerzi, amivel dekódolja a 
tárolt rejtett üzeneteket. Javasoljon egy nyilvános kulcsú módszerre támasz- 
kodó protokollt, amely lehetetlenné teszi, hogy Cili utólag rekonstruálja a 
nyílt üzeneteket. 


8.2. Feladat. Tekintse a következő egy üzenetből álló kulcsszállító proto- 
kollt: 





(1) AG B: (AKITA BIKITA bora) pu, 


ahol k a kapcsolatkulcs, 74 egy A által generált időpecsét, PrA az A privát 
kulcsa, és PuB a B nyilvános kulcsa. 





1. Adja meg a protokoll feltevéseinek listáját a BAN-logika nyelvén! 
2. Adja meg a protokoll által elért célokat a BAN-logika nyelvén! 


3. Vezesse le a 2. pontban megadott célokat a BAN-logika következtetési 
szabályait használva, ha a protokoll idealizációja a következő: 


B a (AKITA A E BIR) ITA ) pra) pas. 


9. 


Partner-hitelesítés 


A partner-hitelesítés protokollok feladata, hogy lehetővé tegyék két kommu- 
nikáló fél számára egymás identitásának megbízható ellenőrzését. A megbíz- 
ható jelző itt arra utal, hogy a felek valamilyen módon bebizonyítják állított 
identitásukat. Az identitás bizonyítása többféle módszerrel is történhet, me- 
lyek alapvetően három osztályba sorolhatók: 


m biometriai módszerek: Ezen módszerek elsősorban személyek identitásá- 
nak bizonyítására használatosak. A bizonyítás alapját valamilyen szemé- 
lyes biológiai jellemző (pl. hang, ujjlenyomat, írisz mintázat stb.) képezi. 


nu hardver alapú módszerek: Ezen módszereknél a bizonyítás alapja valami- 
lyen hardver token (badge, smart kártya stb.) birtoklása. 


u algoritmusos módszerek: A bizonyítás alapja valamilyen számítás elvég- 
zésének képessége. 


Jelen fejezetben az algoritmusos módszerekkel foglalkozunk. Ezen mód- 
szerek közül a következő hármat tárgyaljuk: 


nm Gyakran használt, tipikus algoritmikus módszer valamilyen titok isme- 
retének bizonyítása magának a titoknak a felfedésével. Ezt jelszó alapú 
partner-hitelesítésnek nevezzük, és a 9.1. szakaszban tárgyaljuk. 


u Haa felek képesek bonyolultabb számítások elvégzésére, akkor kriptográ- 
fiai alapú módszereket is használhatnak. Ezekről a 9.2. szakaszban szó- 
lunk. Ebben az esetben egy titkos kulcs használata (pl. egy ismert szöveg 
digitális aláírása) képezi az identitás bizonyításának alapját, azzal a felté- 
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telzéssel, hogy a titkos kulcs valamilyen módon a bizonyítást végző félhez 
kötődik. N 

m Végül a 9.3. szakaszban egy olyan kriptográfiai technikát mutatunk be, 
mely garantálja, hogy az identitás bizonyítása során a bizonyítás alapját 
képező titokról semmilyen információ nem szivárog ki azon kívül, hogy 
a bizonyítást végző fél ismeri a titkot. 


9.1. Jelszó alapú partner-hitelesítés 


A jelszavas partner-hitelesítés régóta ismert azonosítási eljárás, amit ma is 
nagyon elterjedten használnak. A jelszó lényegében egy titok, amit a fel- 
használó megoszt azzal az erőforrással, amihez alkalmanként hozzá szeretne 
férni. A felhasználót a jelszó ismerete hitelesíti. A jelszó ismeretét többféle- 
képpen is bizonyíthatja az erőforrás számára (pl. felfedheti a jelszót, elküld- 
heti a jelszó lenyomatát stb.). A jelszavas rendszerek szokásos problémái a 
következők: 


u nem megfelelő erősségű, könnyen kitalálható jelszó választása, 


u a jelszó nyílt alakban történő továbbítása a rendszerbe jutás pontjától (pl. 
terminál klaviatúra) az ellenőrzés pontjáig (pl. gazdagép), 


m a jelszavak nem eléggé védett tárolása (mind a felhasználó oldalán, mind 
pedig a jelszófájl tekintetében). 

Az alábbiakban több különböző protokollon keresztül vizsgáljuk ezen prob- 

lémák megoldásának vagy enyhítésének módjait. 


9.1.1. Egyirányú függvényes leképezés 


A jelszavak gazdagépoldali védelmén javít azok egyirányú fügvénnyel tör- 
ténő leképezése. Ekkor a gazdagép a jelszófájlban nem magukat a jelsza- 
vakat, hanem csak azok egyirányú leképezettjét, lenyomatát tárolja az egyes 
felhasználókra, a felhasználói azonosítókkal együtt. A jelszó továbbra is nyílt 
alakban érkezik az ellenőrzés helyére, ahol előbb kiszámításra kerül annak 
egyirányú függvényes leképezése, majd ennek eredménye kerül összevetésre 
a jelszófájl bejegyzésével. Ezt a folyamatot szemlélteti a 9.1. ábra. 

Úgy tűnhet, hogy ezzel a megoldással a jelszófájl illetéktelen olvasása 
önmagában nem jelent veszélyt, hiszen az egyirányú leképezés gyakorlati- 
lag invertálhatatlan tulajdonsága biztosítja, hogy a jelszavakhoz a támadó 
nem férhet hozzá. Ez azonban csak feltételek mellett igaz: szükséges, hogy 
a jelszóméret elég nagy legyen a teljes kipróbálás megakadályozásához, és 
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igen / nem 
Jelszófájl 


f(jelszó ) f(jelszów) ! ID f(jelszóm) 
ID, f(jelszóm) 


jelszó 








ID 








9.1. ábra. . A jelszó ellenőrzésének tipikus folyamata 


a jelszavak a teljes jelszótérből kerüljenek kiválasztásra. Ha ezen feltételek 
nem teljesülnek (pl. a felhasználók nem véletlenszerűen választanak az adott 
hosszúságú alfanumerikus karaktersorozatok közül, hanem értelmes szava- 
kat, jellemző dátumokat, ezek triviális kombinációit használják), akkor a fent 
leírt rendszer ki van téve a szótár alapú támadás veszélyének. 


Szótár alapú támadás. A szótár alapú támadások a rendszer jelszófájljában 
tárolt információkat és a támadó által generált vagy szintén a rendszerben ta- 
lálható szótárfájlokat (pl. /usr/dict/words) használják a felhasználók 
jelszavainak off-line megfejtésére. A fent említett forrásokból összeállítanak 
egy nagy méretű szótárat, melynek szavait különböző transzformációknak 
vetik alá (pl. csupa kisbetűre/nagybetűre konvertálják, megismétlik, tükrö- 
zik, számokkal egészítik ki stb.), majd a jelszavak leképezéséhez használt 
egyirányú függvénnyel transzformálják őket, és az eredményt összehason- 
lítják a jelszófájlban tárolt értékekkel. Egyes jelszótörő programok a jelszó- 
fájlban talált egyéb, a felhasználókra vonatkozó információkat is felhasznál- 
nak (pl. a felhasználó teljes nevének kezdőbetűiből különböző kombinációk 
szerint karaktersorozatokat állítanak elő, mert sok felhasználó választ így 
jelszót, bízva abban, hogy az így nyert többnyire értelmetlen szó elég erős 
jelszó lesz). Nagyon fontos kihangsúlyozni, hogy a szótár alapú támadások 
többnyire off-line módon kerülnek kivitelezésre, azaz a támadónak , korlát- 
lan" mennyiségű idő áll rehdelkezésre a próbálgatáshoz. 

A szótár alapú támadások ellen a jelszavak körültekintő megválasztásával 
védekezhetünk a leghatékonyabban. Tanácsos olyan jelszót választani, ami 
nem értelmes szó, egyszerű transzformációkkal (pl. ismétlés, tükrözés) nem 
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nyerhető értelmes szóból, és nem kapcsolódik a rendszerben nyilvánosan 
elérhető információkhoz. Jó választás lehet például egy, a kedvenc versünk 
első pár sorának kezdőbetűiből alkotott kataktersorozat, néhány numerikus 
karakterrel megtűzdelve. 


Salting. A szótáralapú támadások másik ellenszere az ún. salting. A salting 
azt jelenti, hogy a jelszavakat egy adott hosszúságú, véletlen bitsorozattal 
egészítjük ki, és ezután alkalmazzuk az egyirányú leképezést. Ezen véletlen 
bitsorozat (salt) nyíltan kerül tárolásra a jelszófájlban. 

Ha a salt mérete r bit, akkor a szótáras támadónak minden jelszójelölt 27 
számú különböző variációját kell ellenőriznie, azaz a szótár mérete irreáli- 
san naggyá dagadhat (r méretétől függően). A salting további előnye, hogy 
ha két felhasználó azonos jelszót választ, a felhasználókhoz tartozó, a jelszó- 
fájlban tárolt jelszólenyomatok akkor is különbözni fognak. 


9.1.2. Kétirányú jelszóellenőrzés 


Az egyirányú jelszóellenőrzés folyamatában az , Enter your password: fel- 
szólításra a felhasználó nyíltan átad egy titkot. Ezzel kockázatot vállal, hi- 
szen a másik fél nem azonosította magát. Ezt a problémát igyekszik enyhí- 
teni a következő protokoll: 


Kétirányú jelszóellenőrzés 
(1) AG B: NA 


(2) BOA: f(PglNa)INg 
68) AOB: f(PAlNs) 


Feltesszük, hogy mindkét fél birtokában van saját és partnere jelszavának. 
A jelszavak nem kerülnek nyíltan átvitelre az azonosítási folyamat során. 
Ehelyett a , kihívás-válasz" módszerét alkalmazzuk. A egy frissen generált 
NA véletlen elemet küld át B-nek, aki ezt hozzáfűzi Pp jelszavához, és ezt a 
bővített jelszót egy f egyirányú függvénnyel leképezi. B a leképezés ered- 
ményét visszaküldi A-nak, aki ugyanazon számítást maga is elvégzi, s a szá- 
mítás eredményét egybeveti a kapott értékkel. Hasonlóan B is küld egy Ng 
kihívást A-nak, aki azt PA jelszavához fűzi, a kiegészített jelszót az f függ- 
vénnyel leképezi, majd az eredményt visszaküldi B-nek. B maga is elvégzi a 
számítást, és az eredményt összeveti az A-tól kapott értékkel. 

A kapcsolat-felvételenként frissített véletlen elemek (NA és Np) alkalma- 
zásának célja nyivánvaló, hiszen enélkül nem lenne értelme az egyirányú le- 
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képezéses védelemnek, mivel ekkor lényegében a leképezés eredménye ját- 
szaná a nyílt jelszó szerepét. A szótár alapú támadás veszélyét ez a megoldás 
nem szünteti meg teljesen, hiszen az NA és Ng véletlen elemeket a támadó is 
láthatja (esetleg a támadó az egyik fél), így a válaszokban csak a jelszavak 
az ismeretlenek. A támadást azonban praktikusan lehetetlen off-line módon 
kivitelezni (a véletlen kihívás nem más, mint egy egyszer használatos salt). 


9.1.3. Egyszer használatos jelszavak 


Ha a jelszót kapcsolat-felvételenként változtatnánk, nyilván semmi értelme 
nem lenne a jelszó megismerésére irányuló támadásnak, feltéve, hogy a ko- 
rábbi jelszavakból nem kiszámítható a következő jelszó. Ekkor tehát az ak- 
tuális jelszót nyíltan is átküldhetjük. Erre az ötletre épül az S/KEY nevű, 
egyszer használatos (one-time) jelszórendszer. 


S/KEY. Tegyük fel, hogy A akarja hitelesíteni magát B-nek. A protokoll ini- 
cializálásakor A választ egy R titkos véletlenelemet, majd az f egyirányú 
függvény iteratív alkalmazásával generál n darab egyszer használatos jel- 
szót, melyeket P;-vel jelölünk (1 £ i £ n): 


hai—n 


n-(y 
5 1 f(Paa)— f67)(R) hai cic n. 


Ezután A hitelesen eljuttatja A) — f(Pi)-et B-nek. A protokoll inicializálása 
ezzel véget ér. Az i-edik bejelentkezéskor, A a P; jelszóval hitelesíti magát. 
Ezt B úgy ellenőrzi, hogy f(P)-t P,-1-hez hasonlítja, ahol Pj-1 az előzőleg 
elfogadott jelszó vagy az inicializálásnál kicserélt Ap. Ha f(P;) megegyezik 
P,.1-gyel, akkor a hitelesítés sikeres. Mivel f egyirányú, ezért P; — f(Pu1) 
megfigyeléséből nem lehet kiszámítani F;4.1-et. 

A-nak vagy tárolnia kell a (P) jelszósorozat még fel nem használt ele- 
meit, vagy csak R-et tárolja, és abból az f függvény alkalmazásával mindig 
kiszámolja az aktuális jelszót P; — f(7-?(R) alapján. 

A két félnek szinkront kell tartania a jelszósorszám vonatkozásában. Ha 
azonban valamely hiba következtében az átvitel során elveszne egy jelszó, 
akkor A eggyel továbblép a jelszósorszámban, és új jelszót küld, mellette 
jelezve az egylépéses szinkronhibát. 

A módszer biztonságos, hátránya azonban, hogy egy biztonságos eszközt 
is igényel a számítások végrehajtására. Ha kizárólagosan saját használatú 
számítógépről jelentkezünk be, akkor ez a probléma megoldható szoftverrel. 
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A másik véglet az, mikor csak egy bárki által használható terminál billen- 
tyűzetéhez férünk hozzá. Ekkor hozdozható (kézi) jelszógenerátor vagy jel- 
szótároló eszköz szükséges. Utóbbi lehet akár egy, a jelszólistát tartalmazó 
Papírlap is, amin mindig kihúzzuk a már felhasznált jelszavakat. Ebben az 
esetben azonban gondoskodni kell arról, hogy a papírlaphoz illetéktelenek 
ne férjenek hozzá (ne lássák). 


9.2.  Kihívás-válasz protokollok 


A jelszó alapú partner-hitelesítést elsősorban humán felhasználók hitelesí- 
tésére használjuk. Ha a partnerek számítást végezni képes eszközök (azaz 
számítógépek, ideértve pl. a smart kártyákat is), akkor a partner-hitelesítés 
épülhet erősebb, kriptográfiai protokollokra is. Ekkor A úgy hitelesíti ma- 
gát B-nek, hogy bebizonyítja, hogy birtokában van egy olyan kriptográfiai 
kulcsnak, ami valamilyen módon A-hoz van rendelve (azaz B tudja, hogy 
csak A ismerheti). A bizonyításhoz A használja a kulcsot, azaz rejtjelez, de- 
kódol vagy aláír valamit. A visszajátszásos támadások megakadályozását az 
ún. kihívás-válasz módszer alkalmazásával érhetjük el. Ekkor A egy B ál- 
tal frissen generált elemen (kihíváson) alkalmazza a kulcsot, így A válasza 
nemcsak a kulcstól függ, hanem a kihívástól is. 
Tekintsük a következő, építőelemként szolgáló protokollrészleteket: 


m Hitelesítés szimmetrikus kulcsú rejtjelezéssel: 


(4) BGA: Ny 
(2) AGB: (NB)xag 


B generál egy N; friss véletlenszámot, és nyíltan elküldi azt A-nak. A a 
Kag kulccsal rejtjelezi N-t, ahol Kag egy csak A és B számára ismert 
szimmetrikus kulcs. B dekódolja A válaszát, és ha visszakapta a koráb- 
ban elküldött Ng számet, akkor A hitelesítette magát. A hitelesítés alapja, 
hogy (B-n kívül) csak A tud rejtjelezni Káp-vel. 

m Hitelesítés szimmétrikus kulcsú dekódolással: 


(1) BOA: (Np)xkag 
(2) AGB: Ng 


B generál egy N; friss véletlenszámot, rejtjelezi azt a Kag kulccsal, ahol 
Kax egy csak A és B számára ismert szimmetrikus kulcs, és az eredményt 
elküldi A-nak. A dekódolja B üzenetét, majd visszaküldi a dekódolás ered- 
ményét B-nek. B ellenőrzi A válaszát, és ha az megegyezik az Ng szám- 
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mal, akkor A hitelesítette magát. A hitelesítés alapja, hogy (B-n kívül) 
csak A tud dekódolni KAz-vel. 


m Hitelesítés digitális aláírással: 


(1) B-6A: Ng 
2) ACB: (Nabet 


B generál egy N; friss véletlenszámot, és nyíltan elküldi azt A-nak. A saját 
privát kulcsával, K4 (50) vag aláírja Ng-t. B ellenőrzi A aláírását A nyilvános 
kulcsának, KA (b) nak a felhasználásával, és ha az aláírás hiteles, Eg 
hitelesítette magát. A hitelesítés alapja, hogy csak A tud aláírni KA (50) 

m Hitelesítés nyilvános kulcsú rejtjelezéssel: 


4) BOA: (NE) prog 
(2) AGB: NN 


B generál egy Np friss véletlenszámot, rejtjelezi azt A nyilvános kulcsá- 
val, KÉPV). val, és az eredményt elküldi A-nak. A dekódolja B üzenetét sa- 
ját privát kulcsával, KÉ"J.val, majd visszaküldi a dekódolás eredményét 
B-nek. B ellenőrzi A válaszát, és ha az megegyezik az Ng számmal, ak- 


kor A hitelesítette magát. A hitelesítés alapja, hogy csak A tud dekódolni 
Ké), 
-val. 


áz alkalmazás jellegétől függ, hogy a fenti építőelemeket hogyan lehet 
felhasználni partner-hitelesítésre. Tegyük fel például, hogy egy bankkártya- 
alkalmazásban az ügyfelek bankkártyáinak kell hitelesíteniük magukat a 
bank ATM automatái felé. Más szavakkal, a kártya mindig bizonyító sze- 
repet játszik, az automata pedig mindig ellenőrzőt, és sosem fordítva. Ekkor 
a fenti protokollok önmagukban is megállják a helyüket. Ezzel ellentétben, 
egy olyan alkalmazásban, ahol kölcsönös partner-hitelesítésre van szükség, 
azaz mindkét fél játszhat bizonyító és ellenőrző szerepet is, a fenti protokol- 
lokat esetleg további elemekkel kell kiegészíteni és körültekintően kell kom- 
binálni. Példaként próbáljunk meg a fenti, szimmetrikus kulcsú rejtjelezésre 
épülő egyirányú protokollrészletből kölcsönös hitelesítést végző protokollt 
konstruálni. Naívan úgy gondolhatnánk, hogy a protokollrészletet mindkét 
irányba lejátszva a feladatot megoldottuk: 


(1) AGB: Na 


(2) BGA: (Na)xaa I NB 
6) AB: ÍNpjxag 
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Vegyük észre azonban, hogy a fenti protokoll hibás. Egy támadó A saját 
üzeneteit visszajátszva, meg tudja személyesíteni B-t (hasonló módon A is 
megszemélyesíthető). A támadás menete a következő: 


A—Xp: Na 

Xzp oO A: NA 

A Oo Xg: (Na)xas NA 
Xg — A: (Na)xan ] Nx 
AG Xp: (Nx) kap 


X visszajátsza A NA kihívását A-nak B nevében. Ekkor A előállítja (NA )xax-t. 
X-nek pontosan erre van szüksége az első protokoll példány befejezéséhez. 

A protokollt, a Wide-Mouth-Frog-protokollhoz hasonlóan, irányjelző bi- 
tek alkalmazásával javíthatjuk ki, melyek lehetővé teszik a részvevők szá- 
mára saját üzeneteik felismerését. 

További példaként tekintsük a 8.3.3. szakaszban tárgyalt nyilvános kulcsú 
Needham-Schroeder-protokollt, amely lényegében a fenti, nyilvános kul- 
csú rejtjelezésre épülő protokollrészlet kétirányú alkalmazásából származ- 
tatható. Láttuk azonban, hogy a nyilvános kulcsú Needham-Schroeder-pro- 
tokoll támadható. Ez ismét arra hívja fel a figyelmet, hogy a fenti protokoll- 
részleteket körültekintően kell kombinálni. Jó hasznát vehetjük itt a 8.6. sza- 
kaszban tárgyalt protokoll tervezési elveknek és a 8.7. szakaszban ismertetett 
formális protokoll-ellenőrzési technikának. 


9.3.  Zero-knowledge-protokollok partner-hitelesítésre 


Partner-hitelesítés során A szeretné bizonyítani B-nek, hogy ő valóban A. Ha 
A a jelszavát mutatja fel B-nek, akkor B olyan információhoz jut, amellyel 
egy harmadik fél felé képes A-t megszemélyesíteni. Lehetséges-e olyan azo- 
nosítási protokollt konstruálni, amelyben B nem jut olyan információhoz, 
amelyet később A megszemélyesítésére használhat? Másképpen megfogal- 
mazva, képes-e A azonosítani magát B felé anélkül, hogy ilyen ismeret- 
hez (knowledge) hozzájuttatná B-t. Az alábbiakban bemutatásra kerülő Fiat— 
Shamir-protokoll egy ilyen, zero-knowledge protokoll. A protokoll a modulo 
összetett szám szerinti négyzetgyökvonás nehézségén alapul, ezért először 
tömören összefoglaljuk a négyzetgyökvonás feladatot. 


Négyzetgyökvonás modulo n — pg. Ha létezik oyan b természetes szám, ahol 
0 c b A n, amely az 
X-c (mod n) (9.4) 
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egyenlet megoldása, akkor a c számot kvadratikus maradéknak, a b megol- 
dást pedig a c négyzetgyökének nevezzük modulo n. Több kérdés merül fel 
a (9.1) egyenlettel kapcsolatban: Mikor van megoldása, azaz mely c számok- 
ból lehet gyököt vonni? Ha van megoldása, hány különböző megoldása van? 
Van-e praktikus algoritmus a gyökök kiszámítására? A válaszok nagyban 
függnek az n modulustól. Ennek megfelelően két esetet tekintünk: az egyik, 
amikor n prímszám, a másik, amikor n két különböző prímszám szorzata. 
Ha n — p, ahol p prímszám, akkor ha egy c számra van megoldása a (9.1) 
egyenletnek, s ez a megoldás b, akkor a másik megoldás p— b. Miután ekkor 
modulo p test feletti egyenletről van szó, legfeljebb két különböző megol- 
dás lehetséges. Ha a (9.1) egyenlet megoldható, akkor a megoldásra isme- 
retes praktikus algoritmus, amely polinomiális futási idejű (0(1og! p) futási 
idővel). Azt is egyszerűen beláthatjuk, hogy a (9.1) egyenlet a szóbajövő c 
értékeknek pontosan felére oldható meg. 
9.1. Tétel. Ha n — p prímszám, akkor a (9.1) egyenlet pontosan s — e 
különböző c értékre oldható meg. 


Bizonyítás: Ha b megoldása a (9.1) egyenletnek, akkor p — b is az, ahol 
0 c b c p. Tehát a kvadratikus maradékok száma legfeljebb s. Ha belátjuk, 
hogy tetszőleges bi 5 b2, 0 € bi £ ba £ s pár esetén bi 7 b3 ( mod p), akkor 
bebizonyítottuk az állítást. Tegyük fel, hogy b — b3 (mod p) fennáll vala- 
mely bi, ba párra, azaz pl(b3 — bí). Innen vagy pl(b2 — b1) vagy pl(bi -t b2) 
következik, ami nem lehetséges, mivel 0 € b2— bi £ pés0 c b2-t bi cp.O 


Ha n — pa, ahol p és g prímszámok, akkor ha egy c számra van megol- 
dása a (9.1) egyenletnek, akkor négy megoldása van, s a megoldások bi, n— 
bi,b2,n— ba, ahol 0 c bi,b2 £ n. A négy megoldást az 


47-c (mod p), 
2-c (mod ag) 


egyenletek megoldásait felhasználva a kínai maradékok tétele segítségével 
kaphatjuk meg. Mivel a modulo prímszám egyenletek polinomiális idejű 
megoldási algoritmusa ismert, ezért ha ismerjük n két faktorját, akkor a (9.1) 
egyenlet megoldását is kiszámíthatjuk polinomiális időben. Ha viszont ezen 
faktorokat nem ismerjük, egy nehéz feladattal állunk szemben. Ezen állítá- 
sunkat egyszerűen beláthatjuk, Válasszunk véletlenszerűen egy d,Oocdan 
számot, és számítsuk ki a négyzetét modulo n. Legyen c — d? mod n. Szá- 
mítsuk ki a (9.1) egyenlet egy d" megoldását — ez feltevésünk szerint nem 
nehéz feladat. Ekkor d? — d? — 0 ( modn) áll fenn, azaz 
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n](d—-d)(d-4-d?). (9.2) 


Mivel a d számot véletlenszerűen választottuk, ezért ; a valószínűsége an- 
nak az eseménynek, hogy d — d" vagy d — n—d", azaz d—d" — 0 vagy 
d--d" — n. Ekkor a (9.2) oszthatóság triviális. Azonban ugyancsak 2 a va- 
lószínűsége annak is, hogy d — d" 5 0 (modn), amely esetben 1d-d] c n 
ésd-4-d" c 2n miatt akár az I.n.k.o.(n, [d — d"I), akár I.n.k.o.(n,d --d") leg- 
nagyobb közös osztó számítással n faktorizálásához jutunk, amiről viszont 
tudjuk, hogy nehéz feladat. 

Az alábbiakban bemutatásra kerülő protokollok arra épülnek, hogy a (9.1) 
egyenlet megoldása könnyű feladat, ha ismerjük n faktorjait, ellenkező eset- 
ben azonban nehéz. 


Fiat-Shamir partner-hitelesítési protokoll. A protokoll egy kulcskiosztó 
központot használ, amely véletlenszerűen választ két prímszámot, és azok 
szorzatából előállít egy n modulust. Amikor A be kíván lépni a hitelesítő 
rendszerbe, a központtól kap egy nyilvános és egy titkos kulcsot. A titkos 
kulcs, amit u-val jelölünk, egy véletlenszerűen választott szám, a nyilvános 
kulcs, v, pedig ennek négyzete modulo n, azaz v — u? mod n. 

A protokoll üzenetei a következők: 





Fiat-Shamir-protokoll 


(4) AGB: z2-R? modn 
2) BOA: b 
ha b — 0, akkor 
(B) AGB: R 
ha b — I, akkor 
(6) AGB: w-R-umodn 








ahol R egy véletlen szám (0 c R c n), amelyet A az első lépést megelőzően 

generál, míg b egy véletlen bit, amelyet B a második lépést megelőzően állít 

elő. A harmadik üzenet vétele után B a következő ellenőrzést végzi: Hab — 0 

volt, akkor B ellenőrzi, hogy R? mod n egyenlő-e z-vel. Ha b — 1 volt, akkor 

viszont azt ellenőrzi, hogy fennáll-e a z-v — w? ( modn) egyenlőség. 
Hogyan próbálhatja egy X támadó megszemélyesíteni az A felet? 

1. X végrehajtja az első lépést, és megfigyeli a második üzenetben a b bitet. 
Ismerve A nyilvános v kulcsát, X feladata b értékétől függően vagy R kül- 
dése, amit könnyedén megtehet, hiszen ő maga generálta azt az első lépés 
előtt, vagy kénytelen megpróbálkozni azzal, hogy gyököt vonjon a z-v 
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szorzatból modulo n, ami gyakorlatilag kivitelezhetetlen számára. Azaz : 
valószínűséggel tud sikeresen támadni. 


2. X megpróbálja predikálni a második lépésben átküldésre kerülő b bitet. 
Ha sejtése b — 0, akkor az első üzenetben z — R? mod n-et küldi, majd a 
harmadik üzenetben R mod n-et. Ha sejtése b — I, akkor az első üzenetben 
27 R2:v7! mod n-et küldi, ahharmadik üzentben pedig ismét R mod n-et. 
Így X sikeres lehet, de mivel a b bitet valódi véletlen módon sorsoltuk, 
ezért C nem képes azt 3-nél nagyobb valószínűséggel helyesen predikálni. 
Következésképpen: X ezzel a módszerrel is csak 2 valószínűséggel tudja 
A-t sikeresen megszemélyesíteni. 

Ha tehát t számúszor megismételjük a fenti protokollt, akkor már csak 2" 
"annak valószínűsége, hogy X sikeresen tudja megszemélyesíteni A-t. 

A módszer egy finomítása az, mikor k számú titkos kulcs — nyilvános 
kulcs párt ad a központ egy újonnan a rendszerbe lépő félnek, azaz egy 
(VI, V2, ... , Us UL, U2) . . . , 4) 2k elemű vektort, ahol v; — u? mod n. Továbbá, 
a protokoll második lépésében, B nem egy véletlen bitet küld át A-nak, ha- 
nem k bitet, azaz egy bi, ba, . . .,bk bináris sorozatot. A harmadik lépésben 


w-Rad! sal2 et mod n 
kerül átküldésre. Ennek megfelelően B azt ellenőrzi, hogy fennáll-e a 
wezah cv2-...evét (mod n) 


egyenlőség. Ezen módosítással a protokoll egyszeri végrehajtása után is már 
27 annak a valószínűsége, hogy X sikeresen tudja A-t megszemélyesíteni. 

A Fiat-Shamir-protokoll jól alkalmazható intelligens, kártyás azonosító- 
rendszerekben, ahol a kártya és a tulajdonosa az A fél, akik egy azonosító 
terminállal mint B féllel állnak szemben. Tegyük fel, hogy az azonosító ter- 
minálok üzemeltetője és a kártya kiállítója nem ugyanaz a szervezet, azaz 
például nem egy pénzintézet. A terminálok bárki tulajdonában lehetnek, így 
a kártyának fel kell készülnie arra is, hogy a terminál a partner-hitelesítés 
kapcsán megpróbál jogtalanul titkos ismeretekhez jutni, amelyeket a termi- 
nál tulajdonosa esetleg felhasználhat a kártya tulajdonosának megszemélye- 
sítésére. Gondoljunk például arra, hogy a kártya pénzhelyettesítőként funk- 
cionál egy POS- (Point Of Sale)-terminál felé. A cél tehát az, hogy a rendel- 
tetésüknek megfelelően használt terminálok biztonságosan azonosíthassák a 
kártyát (tulajdonosát), míg csaló szándékú terminálok semmilyen használ- 
ható titokhoz ne jussanak. 
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Ezen alkalmazásnál a nyilvános kulcsot — f(I,c) módon számoljuk, 
ahol f egy hash függvény, / az ügyfél nyilvános azonosítója (például neve, 
számlaszáma, kártyaszáma), továbbá c valamely kis (nyilvános) érték, mely- 
nek egyetlen megválasztási szempontja az, hogy v kvadratikus maradék le- 
gyen. A hash függvény alkalmazásának célja a v méretének használható mé- 
retűvé szűkítése, és emelett annak biztosítása, hogy gyakorlatilag ne fordul- 
hasson elő, hogy két különböző felhasználó azonos v nyilvános kulcsot kap. 
Az u titkos kulcs a kártyában ki nem olvasható módon kerül elhelyezésre. 
A kártya lehetővé teszi az / és c adatelemek ellenőrzését. A kártya tehát 
azonosítja a terminál felé a (jogos) tulajdonosát anélkül, hogy az bármit is 
megtudna a titkos elemmel, azaz a titkos kulccsal kapcsolatban. A kártya 
helyettesíti jogos tulajdonosát, annak közreműködése nélkül működik, kö- 
vetkezésképpen elvesztése egy csaló megtalálót egyszerű helyzetbe hoz. 

A protokoll, az RSA hatványozásával szemben, csak szorzást használ, ami 
jóval kisebb számításigényt jelent. 


9.4. Feladatok 


9.1. Feladat. Tegyük fel, hogy egy A űrjármű leszálláshoz készülődik egy 
távoli bolygó B űrállomásán, s ehhez először azonosítania kell magát. A fel- 
tételek a következők: 

1. B ismeri A jelszavát, ezen kívül más közös titkuk nincs. 

2. A mod2 összeadásnál bonyolultabb műveletet nem tud végezni. 

3. A lesugárzott jeleket egy, az űrállomás környéki C támadó is lehallgat- 
hatja, mivel nem lehet jól koncentrálni a sugárzást. Ugyanakkor a bolygón 
levő űrállomás képes úgy jeleket továbbítani, hogy azok a bolygó felszí- 
nén nem vehetők. 

Javasoljon egy kétlépéses protokollt az azonosításra! 


9.2. Feladat. A jelszavas rendszerek ismert problémája a redundáns, meg- 
jegyezhető jelszavak választása, ami által a jelszótér mérete lényegesen le- 
szűkül, s így könnyebben támadható. Az ember nem szívesen memorizál vé- 
letlenül generált alfanumerikus füzéreket. Lehetséges-e ennek ellenére egy 
olyan megoldás a problémára, amely hosszabb értelmes szövegekből indul 
ki jelszóválasztáskor? 


9.3. Feladat. Attól tartunk, hogy egy aktív támadó képes az átküldött jelszót 
s elfogni", s kicsit később saját céljaira felhasználni. Ez ellen még az egy- 
szer használatos jelszó sem véd. Szeretnénk tehát, hogy az átküldött , azo- 


9. Partner-hitelesítés 233 


nosító" ne legyen felhasználható a támadó által még ez esetben sem. Nem 
támaszkodhatunk rejtjelező kódolóra, vagy véletlen forrásra. Hash függvé- 
nyünk azonban van. Mit tehet két, egyébként egymásban megbízó fél? 


9.4. Feladat. A Woo-Lam-protokollban A hitelesíti magát B-nek az S meg- 
bízható harmadik fél segítségével. S-re azért van szükség, mert feltételezzük, 
hogy A és B nem rendelkezik közös kulccsal. Ezzel szemben feltesszük, hogy 
A és S, valamint B és S rendelkezik egy közös KAs, illetve Kgs kulccsal. A 
protokoll lépései a következők: 





Woo-Lam-protokoll 





(1) AGB: A 

(2) BOGA: Ng 

(8) AGB: (Nr)xas 

(4) Ba S: (AI (Ne) xasbkps 

(5) S-B: (Ns)xes 

Az első üzenetben A elküldi saját azonosítóját B-nek, aki egy frissen gene- 

rált Ng kihívással válaszol. A rejtjelezi Np-t a Kas kulccsal, és az eredményt 
visszaküldi B-nek. B nem tudja dekódolni A válaszát, ezért továbbküldi azt 
§-nek, mellétéve A azonosítóját, és az egész üzenetet a Kgs kulccsal rejtje- 
lezve. S dekódolja az üzenetet sorban mindkét kulccsal, majd Np-t rejtjelezi 
Kgs-sel, és az eredményt visszaküldi B-nek. Most már B is dekódolni tudja 
az üzenetet, és ellenőrzi, hogy visszakapta-e N-t. Ha igen, akkor B úgy gon- 
dolja, hogy A hitelesítette magát. 








1. Mutassuk meg, hogy egy legális, de rosszindulatú X részvevő meg tudja 
személyesíteni A-t! (Segítség: Mivel X legális részvevő, ezért rendelkezik 
egy Kxs kulccsal, és kezdeményezni tudja a protokollt B-vel.) 

2. Javítsuk ki a protokollt! 


9.5. Feladat. Anna be kívánja bizonyítani Bélának, hogy tudja y — g" mod 
Pp diszkrét hatvány g szerinti diszkrét logaritmusát, azaz x-et, ahol p egy 
prímszám, és g egy primitív elem mod p. Mindezt úgy szeretné tenni, hogy 
eközben ne kelljen Bélának felmutatnia x-et, azaz Béla úgy nyerjen bizo- 
nyosságot, hogy végül ne ismerje meg x értékét. 

1. Javasoljon protokollt! 

2. Hogyan használná ezt a módszert egy tetszőleges, titokkal kapcsolatos 

ismeret bizonyítására? § 


III. 


Alkalmazások 


10. 


Internet biztonsági protokollok 


Ebben a fejezetben három internet biztonsági protokollt mutatunk be. Ezek 
az SSL, az IPSec és a PGP protokollok. E három protokoll több szempont- 
ból is érdekes példának tekinthető. Egyrészt azért, mert e három protokoll 
a hálózati architektúra három különböző rétegében helyezkedik el: a PGP 
az alkalmazási, az SSL a szállítási, az IPSec pedig a hálózati réteghez tarto- 
zik. Ezért ezen protokollok azt példázzák, hogy a biztonsági szolgáltatáso- 
kat minden rétegben meg lehet valósítani, természetesen figyelembe véve az 
adott réteg sajátosságait. 

Másrészt, ez a három protokoll három különböző típusú kommunikációs 
szolgáltatás biztonságát igyekszik megoldani. Az SSL feladata egy megbíz- 
ható, kapcsolatorientált szolgáltatás (TCP) biztonságossá tétele, az IPSec fel- 
adata pedig egy megbízhatatlan, datagram szolgáltatás (IP) védelme. A PGP 
egyik fő alkalmazási területe az elektronikus levelezés biztonságossá tétele. 
Az e-mail sajátossága, hogy a kommunikáció aszinkron jellegű, azaz a küldő 
és a vevő nincs egy időben jelen. Látni fogjuk majd, hogy a kommunikációs 
szolgáltatás típusa nagy mértékben befolyásolja a védelemre szánt bizton- 
sági protokoll tulajdonságait. 


10.1. SSL (Secure Socket Layer) 


A Netscape még a web korszak elején, a 90-es évek közepén felismerte, 
hogy a web technológia mindennapi életünk részévé fog válni, és olyan fel- 
adatokra is használni fogjuk majd, melyek biztonsági követelményeket is 
támasztanak. A Netscape célja tehát az volt, hogy a webböngésző és a web- 
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10.I. ábra. Az SSL illeszkedése az internet protokoll-architektúrájába 


szerver közötti kapcsolatot biztonságossá tegye. Ezt a feladatot meg lehetett 
volna oldani a web protokollja, a HTTP szintjén is (voltak ilyen próbálko- 
zások is, például Secure-HTTP). A Netscape azonban egy olyan általános 
célú protokollt fejlesztett ki, ami lehetővé teszi biztonságos TCP kapcso- 
latok kiépítését tetszőleges, amúgy TCP-t használó alkalmazások (például 
HTTP, FTP, SMTP stb.) között. Mivel a TCP programozói interfésze az ún. 
socket absztrakcióra épül, ezért az új protokollt Secure Socket Layer-nek, 
röviden SSL-nek nevezték el. Mára az SSL de facto szabvánnyá vált, szinte 
minden webböngésző és webszerver implementáció támogatja. Sőt, TLS né- 
ven (Transport Layer Security) és kisebb javításokkal, az SSL megindult az 
internet szabvánnyá válás útján is (lásd RFC 2246). 

Az SSL protokoll tehát a TCP réteg felett és az alkalmazások alatt he- 
lyezkedik el az internet protokoll-hierarchiájában. Az SSL-lel kiegészített 
protokoll architektúrát a 10.1. ábra szemlélteti. Mint az az ábrán is látható, 
az SSL protokoll négy alprotokollból áll, melyek a következők: 


m Record protokoll: A Record protokoll feladata a kliens és a szerver (pél- 
dául egy webböngésző és egy webszerver), valamint a felsőbb SSL pro- 
tokoll entitások (Handshake, Change-Cipher-Spec és Alert) közötti kom- 
munikáció védelme, mely titkosítást, integritásvédelmet és üzenetvissza- 
játszás elleni védelemet jelent. 


m Handshake protokoll: A kliens és a szerver a Handshake protokoll segít- 
ségével egyezteti a Record protokollban használt kriptográfiai algoritmu- 
sokat és az algoritmusok paramétereit, beleértve a kapcsolatkulcsokat is. 
A Handshake protokoll további feladata a felek hitelesítése. Tipikusan a 
szerver mindig hitelesíti magát, a kliens hitelesítés azonban opcionális. 
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m Change-Cipher-Spec protokoll: A Change-Cipher-Spec protokoll egyet- 
len üzenetből áll, mely a Handshake protokoll kulcscsere részének vé- 
gét jelzi. Ezen üzenet elküldése után az adott fél az új algoritmusokat és 
kulcsokat kezdi használni küldésre, a vétel azonban még mindig a Hand- 
shake előtti állapot szerint történik. Mikor az adott fél megkapja a másik 
fél Change-Cipher-Spec üzenetét, akkor a vételi állapotát megváltoztatja, 
azaz vételre is az új algoritmusokat és kulcsokat kezdi használni. 


m Alert protokoll: Az Alert protokoll feladata a figyelmeztető- és hibaüze- 
netek továbbítása. 
A továbbiakban a Record és a Handshake protokollokat tárgyaljuk részle- 


tesen. A Change-Cipher-Spec protokollra a Handshake protokoll leírásánál 
még utalni fogunk. Az Alert protokollal nem foglalkozunk. 


10.1.1. Az SSL Record protokoll 


Az SSL Record protokoll a felsőbb protokoll rétegektől érkező üzeneteket a 
következő lépéseken keresztül dolgozza fel: 


1. a hosszú üzeneteket fragmentálja, 

2. a fragmenseket tömöríti, 

3. minden tömörített fragmenst fejléccel lát el, 
4. 


. a fejléccel ellátott, tömörített fragmensre üzenethitelesítő kódot (MAC) 
számol, és azt a fragmenshez csatolja, 


5. majd az üzenethitelesítő kóddal ellátott fragmenst rejtjelezi. 


A vevő a feldolgozást értelemszerűen ellentétes sorrendben végzi. A feldol- 
gozás során használt tömörítő, üzenethitelesítő és rejtjelezési algoritmusok- 
ban, paraméterekben, illetve kulcsokban a Handshake protokoll végrehajtása 
során egyeznek meg a felek. 

A fenti lépések eredményeként előálló Record üzenet formátumát a 10.2. 
ábra mutatja. A fejléc három mezőt tartalmaz, melyek a következők: 


m típus (type): A típusmező értéke utal arra, hogy a Record üzenet bel- 
sejében melyik felsőbb protokoll üzenete (vagy üzenetfragmense) talál- 
ható. Ennek megfelelően a típus mező négyféle értéket tartalmazhat: SSL 
Handshake, SSL Change-Cipher-Spec, SSL Alert és alkalmazás. 


m verzió (version): A verziómező az éppen használt SSL verziót tartalmazza. 
A jelenlegi legmagasabb vege a 3.0, mi is ezt tárgyaljuk. Néhány alkal- 
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10.2. ábra. Az SSL Record protokoll üzenet formátuma 


mazás még mindig támogatja az SSL 2.0 verzióját is. Ez azonban komoly 
biztonsági hiányosságokkal rendelkezik, ezért használata kerülendő. 


m hossz (length): A hossz mező a Record üzenet belsejében található (tömö- 
rített) fragmens hosszát tartalmazza bájtban mérve. 


Az üzenethitelesítő kód generálása a HMAC egy korai verziójával történik 
az alábbiak szerint: 


MAC—H(Kílire [pad, I H(KéMte Ipadi I segnum I type I length I payload)), 


ahol: 


u Haz MDS vagy a SHA-1 hash függvény, attól függően, hogy a Handshake 
során miben egyeztek meg a felek. 


. Köke a MAC érték generálásához használt titkos kulcs, melyet csak a 
kliens és a szerver ismer. Az SSL különböző irányokban különböző kul- 
csot használ, azaz a klienstől a szerver felé tartó üzenetek integritását egy 
KG kulccsal, a szervtől a kliens felé tartó üzenetek integritását pedig 
egy Kf.€ kulccsal védi. A kliens a KZAG kulcsra KÁC néven hivatko- 
zik (küldésre használt MAC kulcs), a KS kulcsra pedig a KC néven 


(vételre használt MAC kulcs). A szerver oldalon az egyes kulcsok szerepe 
nyilván fordított. 


m pad) és pad; két konstans bájtsorozat. 


m segnum az üzenet sorszáma. Az SSL implicit üzenetsorszámot használ, 
ami azt jelenti, hogy a sorszám nem jelenik meg explicit mezőként az 
üzenetben (lásd 10.2. ábra), de a MAC számításban felhasználják aktuális 
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értékét, melyet mindkét fél lokálisan számon tart. Ezt azért lehet így meg- 
tenni, mert az SSL a TCP protkoll felett helyezkedik el, és a TCP normális 
körülmények között biztosítja az üzenetek sorrendhelyes vételét. Ezért ál- 
talában igaz az, hogy mindig a várt sorszámú üzenetet veszik a felek. Ha 
valamilyen támadás vagy hiba folytán nem a várt sorszámú üzenet érkezik 
meg (ami tehát abnormális jelenség), akkor a MAC ellenőrzés sikertelen 
lesz, és a vevő bontja a kapcsolatot. 


nm type és length az üzenet fejlécében található típus és hossz mezők értéke. 
m payload az üzenetben található (tömörített) fragmens. 


A 10.2. ábrán a Record üzenet rejtjelezett részét szürke színnel jelöltük. 
Mint látható, a fejléc kivételével az egész üzenet rejtjelezve van. Az SSL 
alapértlemezett (default) rejtjelező algoritmusa az RC4 kulcsfolyamatos rejt- 
jelező, de a Handshake protokoll végrehajtása során a felek más algoritmus- 
ban is megegyezhetnek. Az SSL támogatja még az RC2, a DES, a három 
kulcsos 3DES, az IDEA és a Fortezza blokkrejtjelezők CBC módban történő 
használatát. Amennyiben a felek valamelyik blokkrejtjelező használatában 
egyeznek meg, úgy a rejtjelezés előtt minden Record üzenetet ki kell tölteni, 
hogy hossza a rejtjelező blokkméretének egész számú többszöröse legyen. 
Az SSL az 5.1. algoritmus szerinti kitöltési sémát használja. A kitöltés bájt- 
jai a MAC után kerülnek az üzenetbe. Kulcsfolyamatos rejtjelező használata 
esetén nincs kitöltés. 

Blokkrejtjelező használata esetén, a CBC mód miatt, szükség van /V-re 
is. Az első üzenet rejtjelezéséhez használt /V-t a Handshake során generál- 
ják a felek (a kulcsokkal együtt). Minden további üzenetnél az előző üze- 
net utolsó rejtjeles blokkját használják /V-nek. Ez gyakorlatilag azt jelenti, 
mintha a kapcsolat során elküldött összes üzenetet egyetlen nagy üzenetként 
CBC módban rejtjeleznék (az üzenetenkénti kitöltéstől eltekintve). 





10.1.2. Az SSL viszony és az SSL kapcsolat 


Mielőtt a Handshake protokoll részletes ismertetésébe kezdenénk, be kell ve- 
zetnünk az SSL viszony (session) és az SSL kapcsolat (connection) fogalmát 
és a közöttük fennálló kapcsolatot. Az SSL két fél között több párhuzamos 
viszony kialakítását teszi lehetővé, és minden viszonyon belül több kapcsolat 
lehetséges. Ezen lehetőségek közül azonban a legtöbb implementáció csak az 
egy viszonyon belüli több kapcsolatot támogatja, a több párhuzamos viszony 
lehetőségét nem. Tehát rni is azt fogjuk most feltételezni, hogy a felek között 
egy viszony van, és a VASZOGYOA belül több kapcsolat lehetséges. 
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Mind a viszony, mind a kapcsolatok a felek közös állapotának egy-egy 
részletét írják le. A viszony tartalmazza az állapot azon részleteit, amit a 
viszonyon belüli kapcsolatok megosztanak, közösen használnak. A viszony 
része például a viszony azonosító, a felek nyilvános kulcs tanúsítványa (ha 
rendelkeznek ilyennel), a tömörítő algoritmus, a rejtjelező és MAC algo- 
ritmus, az ezen algoritmusok által használt méretek (például a MAC kulcs 
hossza) és egy mestertitok (master secret). A viszony része még az ún. , is 
resumable" jelzőbit, melynek 1 értéke azt jelenti, hogy az adott viszonyon 
belül még létrehozható új kapcsolat, 0 értéke pedig azt, hogy új kapcsolat 
létrehozása nem lehetséges. Ez a jelzőbit akkor válik 0 értékűvé, ha valame- 
lyik, a viszonyhoz tartozó kapcsolatban egy fatális hiba keletkezik (például 
egy üzenet MAC értékének ellenőrzése sikertelen). Ekkor a még folyamat- 
ban levő kapcsolatok folytatódnak, de a jelzőbit nullázása azt eredményezi, 
hogy új kapcsolatot a viszonyon belül már nem lehet létrehozni. 

A kapcsolat részét képezi például a kapcsolatban használt két rejtjelező 
kulcs, a két MAC kulcs (különböző irányokban különböző kulcsokat használ 
a protokoll mind a rejtjelezéshez, mind a MAC számításhoz), a különböző 
irányokban használt üzenetsorszámok, és blokkrejtjelező használata esetén 
az IV-k. Fontos tehát látni, hogy minden kapcsolatnak saját kulcsai vannak, 
ezért a kulcsok a kapcsolat részét képezik, ugyanakkor az egy viszonyhoz 
tartozó kapcsolatok ugyanazokat az algoritmusokat használják, és a mester- 
titok is közös, amiből a kapcsolatkulcsokat generálják. Ezért az algoritmusok 
és a mester titok a viszonyhoz tartoznak. 


10.1.3. Az SSL Handshake protokoll 


A Handshake protokoll feladata a két fél közötti viszony felépítése, vagy ha 
az már létezik, és annak , is resumable" jelzőbitje 1 értékű, akkor a viszo- 
nyon belül egy új kapcsolat létrehozása. Az SSL Handshake protokoll egy 
komplex protokoll. A komplexitás legfőbb oka az, hogy a Handshake pro- 
tokoll többféle kulcscsere módszer használatát is támogatja, és a Handshake 
üzenetek értelmezése az egyes módszerek esetén más és más. A Handshake 
protokoll általános váza a 10.3. ábrán látható, ahol C jelöli a klienst, S pedig 
a szervert. 

A Handshake protokoll négy fázisra tagolódik. Az első fázisban (1. és 
2. üzenet) történik meg az algoritmusok egyeztetése, beleértve a Handshake 
hátralevő részében használt kulcscsere módszert is. Ezen kívül a felek az első 
fázisban kicserélnek két frissen generált véletlen számot is, melyet a további 
számításoknál használni fognak majd. A második fázisban (3-6. üzenetek) a 
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SSL Handshake protokol! 


(4)  C—S: cdient-hello 
(2) §-C: server-hello 





(6) §S-C: certificate 

(4) S§-C: server-key-exchange 
(5) §S-C: certificate-reguest 
(6) . §5.C:  server-hello-done 


(7) C—GS: certificate 
(8)  C— S: client-key-exchange 
(9d  C—S: certificate-verify 


CS:  change-cipher-spec 
(10) C—S: dlient-finished 

§-C:  change-cipher-spec 
(11) Só: Server-finished 








10.3. ábra. Az SSL Handshake protokoll váza. A vastagon szedett üzenetek köte- 
lezőek, a többi opcionális (a korábbi üzenetek tartalmától függ, hogy kell-e őket 
küldeni vagy sem). 


szerver a kiválasztott módszernek megfelelően végrehajtja a kulcscsere ráeső 
részét, míg a kliens a harmadik fázisban (7-9. üzenetek) teszi meg ugyanezt. 
A harmadik fázis után, az addig kicserélt információkat felhasználva, mind- 
két fél előállítja az új kapcsolatkulcsokat. A negyedik fázisban (10. és 11. 
üzenet) a felek áttérnek az új algoritmusok és kulcsok használatára. Mind- 
két fél egy finished üzenet küldésével fejezi be a protokollt, mely az első 
olyan üzenet, ami már az új algoritmusokat használva, az új kulcsokkal van 
kódolva. 

Vegyük észre, hogy a change-cipher-spec üzeneteket a fenti leírásban 
nem számoztuk meg. Ez azért van, mert ezek az üzenetek a Change-Cipher- 
Spec protokollhoz tartoznak és nem a Handshake protokoll részei. Erre az 
SSL analízisénél még vissza fogunk térni. 

A client-hello üzenet a következő információkat tartalmazza: 


m kliens verzió: A kliens tájékoztatja a szervert az általa támogatott legma- 
gasabb SSL verzió számáról. 


m véletlenszám: A kliens generál egy friss véletlenszámot, és elküldi azt a 


szervernek. ) 
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m viszony azonosító: Ha a kliens azt szeretné, hogy az új kapcsolat egy már 
létező viszonyon belül jöjjön létre, akkor elküldi ezen viszony azonosító- 
ját a szervernek. Ha a kliens új viszonyt akar létrehozni, akkor ez a mező 
üres. 

m biztonsági algoritmusok: A kliens tájékoztatja a szervert az általa támoga- 
tott biztonsági algoritmusokról. Ez a mező egy, a kliens preferenciái sze- 
rint rendezett listát tartalmaz, ahol a lista elemei a támogatott algoritmus- 
kombinációk azonosítói. Egy ilyen listaelem lehet például az SSL.-RSA- 
with-3DES-EDE-CBC-SHA azonosító, mely a következő algoritmusok 
kombinációját jelöli: 

- RSA alapú kulcscsere módszer, 
-  3DES rejtjelezés, EDE konfigurációban, CBC módban, 
-  SHA hash függvény és arra épülő MAC. 


A megjelölt algoritmusok közvetve definiálják a paramétereket is (például 
3DES esetén az /V méret 64 bit, SHA esetén a MAC mérete 160 bit stb). 


um tömörítő algoritmusok: A kliens tájékoztatja a szervert az általa támoga- 
tott tömörítő algoritmusokról. Az előző mezőhöz hasonlóan ez a mező 
is egy preferencia szerint rendezett listát tartalmaz, ahol azonban a lista 
elemeit tömörítő algoritmusok azonosítói alkotják. 


A server-hello üzenet ugyanazokból a mezőkből áll, mint a client-hello 
üzenet, csak a mezők értelmezése kicsit más: 


m szerver verzió: A szerver azt a legmagasabb verziót választja, melyet mind 
a kliens, mind a szerver támogat, és erről tájékoztatja a klienst. 


m véletlenszám: A szerver is generál egy (a kliensétől független) friss vélet- 
lenszámot, és elküldi azt a kliensnek. 


m viszonyazonosító: Ha a kliens javasolt egy viszonyazonosítót, akkor a 
szerver ellenőrzi, hogy az adott viszonyon belül lehet-e még új kapcso- 
latot létrehozni (, is resumable" bit értéke 1). Ha igen, akkor a szerver 
az adott viszony azonosítójával válaszol. Ha a viszonyon belül már nem 
lehet új kapcsolatot létrehozni, vagy a kliens nem javasolt viszonyazono- 
sítót, akkor a szerver generál egy új viszonyazonosítót, és azt küldi el a 
kliensnek. 

m biztonsági algoritmusok: A szerver választ egy algoritmus-kombinációt 
a kliens listájáról, és csak a kiválasztott kombináció azonosítóját küldi 
vissza a kliensnek. 


10. Internet biztonsági protokollok 245 


u tömörítő algoritmusok: A szerver választ egy algoritmust a kliens listájá- 
ról, és annak azonosítóját küldi vissza a kliensnek. 


A további üzenetek értelmezése attól függ, hogy milyen kulcscseremód- 
szerben egyeztek meg a felek. Az SSL öt kulcscseremódszert támogat. Ezek 
a következők: 


u RSA alapú: RSA alapú kulcscsere esetén a kliens generál egy 48 bájt mé- 
retű véletlen blokkot, amit a szerver nyilvános RSA kulcsával kódolva 
elküld a szervernek. Ebből a véletlen blokkból aztán mind a kliens, mind 
a szerver előállítja a közös mestertitkot. 


u fix Diffie-Hellman: Fix Diffie-Hellman-kulcscsere esetén a felek a Diffie— 
Hellman-algoritmust használják, és az ennek eredményeként kialakult kö- 
zös értékből generálják a mestertitkot. A fix jelző arra utal, hogy a szerver 
Diffie-Hellman-paraméterei (p, g, £7 mod p) fixek, azokat egy hitelesítés- 
szolgáltató aláírta, és az erről szóló tanúsítványt a kliens ellenőrizni tudja. 


m egyszer használatos Diffie-Hellman: Az előző módszerhez hasonlóan Dif- 
fie-Hellman-algoritmust használnak a felek, de a szervernek nincsenek 
fix, aláírt Diffie-Hellman-paraméterei. Helyette a szerver egyszer haszná- 
latos paramétereket generál, és azokat RSA vagy DSS aláíró kulcsával alá- 
írva juttatja el a kliensnek. A kliens mind a fix, mind az egyszer használa- 
tos Diffie-Hellman-kulcscsere esetén egyszer használatos Diffie-Hellman 
nyilvános értéket generál a szerver p és g paramétereit használva. 


m anonim Diffie-Hellman: Ezen módszer használata esetén a felek az ere- 
deti, hitelesítés (aláírás) nélküli Diffie-Hellman-algoritmust hajtják végre. 
Ezen módszer használata nem tanácsos, ha az aktív támadások veszélyét 
nem lehet kizárni. 


u Fortezza: A Fortezza kulcscsere protokoll a Netscape saját fejlesztésű 
módszere, amivel itt most nem foglalkozunk. 


A Handshake protokoll második fázisának első üzenete a certificate üze- 
net. Ez egy hitelesítésszolgáltató által aláírt tanúsítvány (vagy ilyen tanúsít- 
ványok lánca), amit az anonim Diffie-Hellman kivételével, minden kulcs- 
csere módszer esetén elküld a szerver. A tanúsítvány tartalma azonban vál- 
tozó. Tartalmazhat egy nyilvános RSA rejtjelező kulcsot (RSA alapú kulcs- 
csere), vagy egy RSA, vagy DSS aláírás ellenőrző kulcsot (RSA alapú kulcs- 
csere, vagy egyszer használatos Diffie-Hellman), vagy a szerver Diffie-Hell- 
man paramétereit (fix Diffie-Hellman). 

/ 
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A következő üzenet a server-key-exchange üzenet. Ezt csak abban az 
esetben küldi a szerver, ha az előző lépésben küldött tanúsítvány nem tar- 
talmaz elegendő információt a kulcscsere befejezéséhez. Tipikusan, ha a 
tanúsítvány csak egy aláírásellenőrző kulcsot tartalmazott, akkor a szerver 
a server-key-exchange üzenetben küldi el a kliensnek a rejtjelezésre al- 
kalmas RSA kulcsot (RSA alapú kulcscsere), vagy az egyszer használatos 
Diffie-Hellman paramétereit. A server-key-exchange üzenetet a szerver 
digitálisan aláírja. Ehhez először a server-key-exchange üzenetben elkül- 
dött kulcscsere paramétereket és az első fázisban kicserélt véletlenszámokat 
összefűzi, majd az eredmény hash értékén képezi az aláírást. 

Ha a szerver szeretné hitelesíteni a klienst (ez opcionális), akkor küld egy 
certificate-reguest üzenetet, melyben specifikálja, hogy milyen tanúsítvá- 
nyokat vár a klienstől. Végül, a második fázist a server-hello-done üzenet 
zárja le, melyben a szerver jelzi a kliensnek, hogy befejezte a kulcscsere 
ráeső részét. 

Ha a szerver küldött certificate-reguest üzenetet, azaz szeretné hitele- 
síteni a klienst, akkor a protokoll harmadik fázisa egy certificate üzenettel 
kezdődik, melyben a kliens elküldi a szerver által kért tanúsítványokat. 

A következő üzenet a client-key-exchange, melyet mindig küld a kli- 
ens. A megegyezett kulcscsere módszertől függően, a client-key-exchange 
üzenet tartalmazhatja a kliens által generált és a szerver nyilvános RSA kul- 
csával rejtjelezett 48 bájtos véletlen blokkot (RSA alapú kulcscsere), vagy a 
kliens egyszer használatos Diffie-Hellman nyilvános értékét. 

Végül, ha a kliens küldött certificate üzenetet, akkor a harmadik fázist a 
certificate-verify üzenettel fejezi be. Ez az üzenet tartalmazza az összes ed- 
digi (a kliens által vett és küldött) Handshake üzenet hash értékét digitálisan 
aláírva, ahol az aláírás a kliens által korábban küldött certificate üzenetben 
található aláírásellenőrző kulccsal ellenőrizhető. 

A Handshake protokoll harmadik fázisa után a kliens és a szerver az kö- 
vetkező módon előállít egy közös K mestertitkot: Jöljük K7-vel a kliens által 
generált 48 bájtos véletlen blokkot, melyet RSA alapú kulcscsere esetén a 
kliens a szerver nyilvános RSA kulcsával rejtjelezve juttat el a szervernek. 
Fix, egyszer használatos vagy anonim Diffie-Hellman-kulcscsere esetén pe- 
dig K" jelölje a Diffie-Hellman-algoritmus g9 mod p végeredményét. Ekkor 


K — MDS(K" I SHACA" IK" 1Nc 1 N5)) I 
MDS(K" I SHA("BB" IK" 1 Nc1N5)) I 
MDS5(K" [ SHA("CCC" IK" I Nc I N5)), 
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ahol Nc és Ns az első fázisban kicserélt véletlen számok, "A", "BB", és 
"CCC" pedig az "A", a "B" illetve a "C" ASCII karakterekből alkotott egy, 
kettő, illetve három hosszú karakterláncok. Mivel az MD5 hash függvény 
kimenetének mérete 16 bájt, ezért a három hash érték összefűzéséből nyert 
K mestertitok 48 bájt hosszú. 

A Handshake protokoll negyedik fázisában a felek egy-egy finished üze- 
netet küldenek egymásnak. A finished üzenetek célja az egész Handshake 
hitelesítése, azaz az esetleges aktív támadások detektálása. Ezen cél elérése 
érdekében mindkét fél kiszámítja az összes vett és küldött Handshake üze- 
net, valamint az imént kiszámolt mestertitok összefűzésével nyert , szuper 
üzenet" hash ertékét. Ez a következő formula szerint történik: 


MD5$(K I pad, ] MD5S(msgs ] sender ] K I pad,)) I 
SHA(K I pad; ] SHA(msgs ] sender I K ] pad1)), 


ahol msgs jelöli a Handshake üzeneteket, sender pedig egy, a küldő féltől 
függő konstans. 


10.1. Példa. Tegyük fel, hogy a felek az RSA alapú kulcscsere módszerben 
egyeztek meg, a szerver tanúsítványa tartalmazza a szerver RSA rejtjelező 
kulcsát, és a szerver nem szeretné hitelesíteni a klienst. Ekkor a Handshake 
protokoll üzenetei a következőképpen alakulnak: 





(1) CS: client-hello 
(2) SO: server-hello 
(3)  §-C: certificate 
(6)  §-—.C: server-hello-done 
(8)  C—.S:  client-key-exchange 
CS:  change-cipher-spec 
(10) C—.S:  client-finished 
§- 6 C:  change-cipher-spec 
(ID S-.C: server-finished 





A hello üzenetek cseréje után a szerver a Certificate üzenetben elküldi 
az RSA rejtjelező kulcsát tartalmazó tanúsítványát. A kliens generál egy 48 
bájtos véletlen blokkot, majd a kapott rejtjelező kulcsot használva rejtjelezi 
azt, és az eredményt a Client-key-exchange üzenetben elküldi a szervernek. 
Ezután mindkét fél Kiszámolja a mestertitkot, és a change-cipher-spec, 
valamint a finished üzenetek elküldésével befejezik a protokollt. 4 


/ 
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10.2. Példa. Tegyük fel, hogy a felek az egyszer használatos Diffie-Hell- 
man-kulcscsere módszerben egyeztek meg, a szerver tanúsítványa egy DSS 
aláírásellenőrző kulcsot tartalmaz, és a szerver DSS aláírással szeretné hite- 
lesíteni a klienst. Ekkor a Handshake protokoll minden üzenetét elküldik a 
felek. 

A hello üzenetek cseréje után a szerver a certificate üzenetben elküldi a 
DSS aláírás ellenőrző kulcsát tartalmazó tanúsítványát. Utána generálja az 
egyszer használatos Diffie-Hellman paramétereket (p és g) és publikus érté- 
két (g7 mod p), majd ezeket DSS aláírással ellátva a server-key-exchange 
üzenetben elküldi a kliensnek. Végül a certificate-reguest üzenetben DSS 
aláírás ellenőrző kulcsot tartalmazó tanúsítványt kér a klienstől. 

A kliens ennek megfelelően a certificate üzenetben elküldi a DSS alá- 
írás ellenőrző kulcsát tartalmazó tanúsítványát a szervernek. Ezután a szer- 
ver p és g Diffie-Hellman paramétereit használva, ő is generál egy egyszer 
használatos Diffie-Hellman publikus értéket (g? mod p), majd elküldi azt a 
szervernek a client-key-exchange üzenetben. Végül az összes eddig vett és 
küldött Handshake üzenet hash értékének DSS aláírását küldi el a szervernek 
a certificate-verify üzenetben. 

Ezután mindkét fél kiszámolja a közös mestertitkot, és a change-cipher- 
spec valamint a finished üzenetek elküldésével befejezik a protokollt. d 





A finished üzeneteket a Record protokoll már az új algoritmusokat és 
kulcsokat használva kódolja. Az ehhez szükséges MAC kulcsokat, rejtjelező 
kulcsokat, /V-ket stb. a mestertitokból generálják a felek a következő módon: 
először a mester titokból létrehoznak egy megfelelő hosszúságú random bájt- 
sorozatot, majd ezt a kulcsok és /V-k méretének megfelelő szeletekre vágják. 
A random bájtsorozat generálása a következő kifejezés szerint történik: 


MD5(K I SHACA"IKINc1N5)) I (10.1) 
MD$(K I SHA("BB" IK 1 Nc 1 N5)) I 
MD5(K I SHA("CCC" IK INc 1 N5)) ] ... 


A fenti kifejezésben minden sor 16 bájtot állít elő, és ezeket fűzzük össze, 
hogy megfelelő mennyiségű véletlen bájtot kapjunk. Ha például 80 bájtra 
van szükségünk, akkor azt öt 16 bájtos blokkból tudjuk összerakni, azaz öt- 
ször kell meghívni az MD5 és SHA függvényeket a fenti módon. 

A teljes Handshake protokoll végrahajtására csak akkor van szükség, ha 
egy új viszonyt akarnak létrehozni a felek. Ha a kliens egy már meglévő 
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viszonyon belül szeretne egy új kapcsolatot létrehozni, és a szerver ezt enge- 
délyezi (, is resumable" bit 1 értékű), akkor a Handshake első fázisa után rög- 
tön a harmadik fázis végére ugranak a felek a végrehajtásban, vagyis (10.1) 
alapján új kapcsolatkulcsokat generálnak a meglévő K mestertitok és az első 
fázisban generált friss Nc és Ns véletlenszámokat használva, majd elküldik 
change-cipher-spec és finished üzeneteiket. Ekkor tehát a protokoll futása 
sokkal rövidebb. 


10.1.4. AzSSL protokoll analízise 


Az SSL az évek során intenzív analízisnek volt kitéve. A 2.0 verzióban szá- 
mos gyengeséget fedeztek fel, amit a 3.0 verzióban a Netscape kijavított. Az 
SSL 3.0 verziója tehát alapvetően stabil és biztonságos protokoll. Apróbb hi- 
ányosságok azonban még akadnak. Ezeket igyekszünk összefoglalni ebben 
a szakaszban. Úgy érezzük, hogy az itt leírt gondolatok megértése elmélyíti 
a fejezet első részének elolvasása során megszerzett ismereteket. 

10.I.4.I. A Record protokoll analízise 

A Record protokollt a következő négy szempont szerint vizsgáljuk: 
bizalmasság megsértésére irányuló támadások elleni védelem, 

m forgalomanalízis elleni védelem, 

m üzenet-visszajátszás elleni védelem, 

m üzenetintegritás és hitelesség biztosítása. 


Bizalmasság. Általában megállapítható, hogy a bizalmasság megsértésére 
irányuló támadások ellen jól védekezik az SSL Record protokollja. A véde- 
lem alapja a Record üzenetek rejtjelezése. A rejtjelezéshez az SSL rövid élet- 
tartamú kapcsolatkulcsokat használ, amiket a hosszabb élettartamú mester- 
titokból állít elő a kapcsolatban generált friss véletlen értékeket (a kliens és 
a szerver által generált friss véletlenszámokat) is felhasználva. A kapcsolat- 
kulcsok előállítása egyirányú függvénnyel történik, ezért egy kapcsolatkulcs 
kompromittálódása nem veszélyezteti a mestertitkot. Külön pozitívumként 
mondható el, hogy az SSL különböző kapcsolatokban, és a kapcsolatokon 
belül különböző irányokban különböző kulcsokat használ. Ez nehezebbé te- 
szi a támadó dolgát, és általában jó tervezési hozzáállásnak minősül. Ezen 
kívül az SSL által támogatott rejtjelező algoritmusok mind erősek. Meg kell 
azonban jegyezni, hogy Kjsdboző amerikai export szabályok miatt, az al- 
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goritmusok csonkított (40 bites) kulcsokkal történő használatát is támogatja 
a protokoll, ami a biztonság szempontjából nem előnyös tuljadonság. 


Forgalomanalízis. A Record protokoll egyáltalán nem védekezik a forga- 
lomanalízis ellen. Az IP címeket és TCP port számokat nyilván nem is rejt- 
heti, hiszen a TCP és az IP protokollok felett helyezkedik el. Az üzenetek 
méretét viszont rejthetné, de nem teszi. Ha a felek az RC4 kulcsfolyamatos 
rejtjelező használatában egyeznek meg, akkor nincs kitöltés, és így a rejtett 
üzenetek hossza megegyezik a nyílt üzenetek hosszával. Ha a felek blokk- 
rejtjelezőt használnak, akkor csak a minimálisan szükséges kitöltést alkal- 
mazzák, így egy forgalmat figyelő támadó jó eséllyel tud tippelni a nyílt 
üzenetek hosszára. 

Az átküldött nyílt üzenetek hosszának ismerete további információk meg- 
szerzését teheti lehetővé. Tegyük fel például, hogy egy webböngésző és egy 
webszerver közötti HTTP forgalmat védjük az SSL protokollal. Ha a támadó 
egy legális felhasználó, aki szintén hozzáfér a szerveren tárolt weboldalak- 
hoz, akkor könnyen megfigyelheti az oldalak és a hozzájuk tartozó URL-ek 
hosszát. Mivel az SSL nem rejti a nyílt üzenetek hosszát, ezért a támadó egy 
másik felhasználó rejtjelezett forgalmát lehallgatva, az üzenetek méretéből 
következtetni tud arra, hogy a felhasználó mely weboldalakat tölti le a szer- 
verről. 


Visszajátszás. A Record protokoll az üzenetek sorszámozásával védekezik 
a visszajátszás ellen. Mivel az üzeneteken számolt MAC tartalmazza a sor- 
szám aktuális értékét is, ezért a támadó nem tudja az üzenetek sorrendjét 
észrevétlenül megváltoztatni, illetve nem tud üzeneteket törölni és beszúrni. 
A sorszám 64 bites, azaz praktikusan sosem fordul körbe. 


Integritásvédelem. A Record protokoll minden üzenethez üzenethitelesítő 
kódot (MAC) csatol, mely védi az üzenet integritását és hitelesíti annak kül- 
dőjét. Az alkalmazott MAC algóritmus a HMAC egy korábbi verziója, a 
MAC kulcsok mérete pedig 128 bit, ami megfelelő biztonságot nyújt. A rejt- 
jelezéshez hasonlóan, a MAC kulcsok is különbözőek minden kapcsolatban, 
és azon belül mindkét irányban. 

A MAC számítással kapcsolatos egyetlen gyengeség, hogy a MAC függ- 
vény bemenete nem tartalmazza a Record üzenet verziómezőjét. Ez nem fel- 
tétlenül ad lehetőséget támadásra, de mindenenképpen felveti a következő 
kérdést: Ha a verziómező értékét a vevő felhasználja a Record üzenet feldol- 
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gozásánál, akkor azt a MAC számítás bemenetének tartalmaznia kellene; ha 
viszont a vevő nem használja a verziómezőt, akkor miért van egyáltalán erre 
a mezőre szükség? 


10.1.4.2. A Handshake protokoll analízise 


Cipher suite rollback. Az SSL 2.0 verziójában egy támadó el tudta érni azt, 
hogy a felek 40 bitesre csonkított kulcsokkal használják a rejtjelező algorit- 
must. Ehhez a támadó a client-hello üzenetet módosította, mégpedig úgy, 
hogy a kliens által javasolt biztonsági algoritmusok listájáról törölte a 40 
bitnél nagyobb kulcsokat használó algoritmus-kombinációkat. Így a szerver 
már csak olyan algoritmus-kombinációt választhatott, ami 40 bites kulcsot 
használt rejtjelezésre. A kliens és a szerver a támadást nem detektálta, mert a 
Handshake protokoll 2.0 verziója nem használt finished üzeneteket, melyek 
az aktív támadások detektálását lehetővé tették volna. 

A Handhskake protokoll 3.0 verziója tehát a finished üzenetek segítségé- 
vel detektálja a Cipher suite rollback támadást. Meg kell azonban jegyezni, 
hogy a finished üzenetek sikeres ellenőrzése csak azon feltétel mellett biz- 
tosítja a teljes Handshake hitelességét és sértetlenségét, hogy a mestertitok 
valóban titkos, sértetlen és hiteles. 

A mestertitok hitelességét az alkalmazott kulcscsere módszertől függően 
többféleképpen biztosíthatja a protokoll. Ha a Handshake során a szerver 
küld server-key-exchange üzenetet, akkor az tartalmazza a szerver aláírá- 
sát a szerver kulcscsere paraméterein, és ez explicit módon hitelesíti a kliens 
számára a később létrehozott mestertitkot. Ha nincs server-key-exchange 
üzenet, akkor a mestertitok hitelesítése a kliens számára implicit. Például 
RSA alapú kulcscsere esetén a kliens tudja, hogy csak a szerver képes dekó- 
dolni a kliens által rejtjelezett 48 bájtos véletlen blokkot, a szerver nyilvános 
kulcsát pedig egy megbízható hitelesítés-szolgáltató hitelesíti. 

A szerver számára a legtöbb esetben nem biztosított a mestertitok hiteles- 
sége, hiszen a kliens hitelesítés opcionális, és ritkán használják. Más szavak- 
kal, a szerver legtöbbször nem tudja biztosan, hogy ki a kliens, és így azt 
sem, hogy ki ismeri a mestertitkot. Ugyanakkor, ha a szerver kéri a kliens 
hitelesítést, akkor a kliens digitális aláírása a certificate-verify üzenetben 
explicit módon hitelesíti a szerver számára a később létrehozott mestertitkot. 


Version rollback. Mivel az SSL 2.0 verziója számos biztonsági rést tartal- 
maz, ezért a támadó megpróbálhatja elérni, hogy a felek a 2.0 verziót futtas- 
sák a 3.0 verzióc helyett. Ez nyilván csak akkor lehetséges, ha a felek még 
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támogatják a 2.0 verziót. A támadónak ehhez csak annyit kell tennie, hogy 
a kliens client-hello üzenetében a verziómezőt 2.0-ra változtatja. A szerver 
így azt hiszi, hogy ez a kliens által támogatott legmagasabb verzió, és így 
nem tehet mást, mint maga is 2.0-ra állítja a verzió mező értékét a server- 
hello üzenetben. A kliens ezt úgy értelmezi, hogy a szerver nem támogatja a 
3.0 verziót, ezért helyette a 2.0 verziót javasolja. Mindketten azt hiszik tehát, 
hogy a másik fél által támogatott legmagasabb verzió a 2.0, ezért a további- 
akban azt használják. A dolog pikantériája, hogy a csalást észre sem veszik, 
mert a Handshake protokoll 2.0 verziójában nincsenek finished üzenetek, 
melyek ezt lehetővé tennék. 

Szerencsére az SSL 3.0 verziója képes detektálni a version rollback táma- 
dást. Ezt a következő módon teszi. Ha a kliens támogatja a 3.0 verziót, akkor 
úgy generálja a mester titok alapját képző 48 bájtos véletlen blokkot, hogy 
abból igazából csak 46 bájt véletlen, az első két bájt pedig a kliens által tá- 
mogatott legmagasabb verziót, azaz a 3.0 értéket tartalmazza. Ezt még akkor 
is így teszi, ha amúgy a protokoll 2.0 verzióját futtatja. Az így előállított 48 
bájtot küldi el aztán a szerver nyilvános RSA kulcsával rejtjelezve a szerver- 
nek! . Ha a szerver támogatja a 3.0 verziót, akkor mindig ellenőrzi a kapott 
blokk első két bájtját, még akkor is, ha amúgy a 2.0 verziót futtatja. Vegyük 
észre, hogy a fenti version rollback támadás csak akkor minősül támadás- 
nak, ha mindkét fél támogatja a 3.0 verziót. Ekkor azonban a kliens jelzi, a 
szerver pedig detektálja, hogy a kliens által támogatott legmagasabb verzió a 
3.0. Ha ennek ellenére a 2.0 verziót használják, akkor a szerver megszakítja 
a kapcsolatot. 


A change-cipher-spec üzenet elnyelése. Említettük, hogy a change-ci- 
pher-spec üzenet nem a Handshake része, és ezért a finished üzenetek szá- 
mításánál és ellenőrzésénél a change-cipher-spec üzeneteket nem veszik 
figyelembe a felek. Elképzelhető továbbá, hogy valamely SSL implemen- 
táció megengedi a finished üzenet feldolgozását annak ellenére, hogy nem 
kapott change-cipher-spec üzenetet. Bár ez nem tűnik logikusnak, az SSL 
specifikációja nem zárja ki ezt a lehetőséget, és a Netscape egyik saját ko- 
rábbi referencia implementációja (SSLRef 3.Ob1) is pont ezt teszi. Ez súlyos 
hiba, amit egy támadó bizonyos esetekben ki tud használni 

Tegyük fel, hogy a felek olyan algoritmus-kombinációt szeretnének hasz- 
nálni, amiben csak üzenethitelesítés van, de nincs rejtjelezés (például SSL- 


! Megjegyezzük, hogy a Handshake 2.0 verziója csak az RSA alapú kulcscserét támogatja. 
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RSA-with-NULL-SHA). A támadó hagyja, hogy a Handshake első három 
fázisa lefusson, majd a kliens change-cipher-spec üzenetét elfogja és el- 
dobja, így a szerver nem kapja azt meg. Ekkor a kliens és a szerver felemás 
állapotba kerülnek: a kliens már az új algoritmusokat használva, azaz MAC 
értékkel kiegészítve küldi üzeneteit, de a szerver még mindig MAC nélkül 
várja azokat. Az első üzenet, amit a kliens MAC értékkel ellátva küld a fini- 
shed üzenet. A támadó ezt az üzenetet úgy módosítja, hogy a MAC értéket 
törli belőle. A szerver elfogadja az így módosított finished üzenetet, mert 


m MAC nélkül várja a kliens üzeneteit, és 


m a finished üzenet ellenőrzése sikeres lesz, hiszen annak számítása nem 

függ az elküldött vagy vett change-cipher-spec üzenetektől. 
Hasonlóképpen, a támadó elnyeli a szerver change-cipher-spec üzenetét 
is, majd a szerver finished üzenetéből törli a MAC értéket. A kliens az előb- 
biekhez hasonlóan elfogadja a módosított finished üzenetet. A Handshake 
tehát sikeresen lefut, és innentől kezdve a támadó minden Record üzenetből 
törli a MAC értéket. Ez persze azt is jelenti, hogy a MAC törlése után min- 
den Record üzenetet módosítani tud, és ezt a felek nem veszik észre, mert 
még mindig felemás állapotban vannak. 

A támadás ellen úgy védekezhetünk, hogy a finished üzenet feldolgozását 
addig nem kezdjük el, amíg a change-cipher-spec üzenet meg nem érke- 
zett. Az újabb implementációk erre már ügyelnek. Vegyük észre továbbá, 
hogy a támadás nem működik, ha rejtjelezést is használnak a felek, mert a 
MAC értékkel ellentétben a rejtjelezést nem tudja eltüntetni a támadó. 


Key exchange algorithm rollback. Egy másik lehetséges aktív támadás, mi- 
kor a támadó eléri, hogy a kliens RSA alapú kulcscserét, míg a szerver 
Diffie-Hellman-algoritmust futtasson egyazon Handshake során. Ekkor egy 
esetleges implementációs figyelmetlenség a következő végzetes támadáshoz 
vezethet. 

Tegyük fel, hogy a kliens egyszer használatos RSA kulcscserét szeretne 
futtatni, a támadó azonban oly módon módosítja a kliens client-hello üze- 
netét, hogy a szerver számára úgy tűnjön, hogy a kliens egyszer használatos 
Diffie-Hellman-kulcscserét javasol (azaz a kliens által javasolt SSL-RSA- 
with-. . . azonosítókat SSL-DHE-with-. . . azonosítókra cseréli a client-hel- 
10 üzenetben). A szerver így biztosan olyan algoritmus-kombinációt választ, 
melyben a kulcscsere módszer az egyszer használatos Diffie-Hellman. A tá- 
madó a server-hello üzenetet úgy módosítja, hogy a szerver által választott 
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SSL-DHE-with-. . . azonosítót SSL-RSA-with-. . . azonosítóra cseréli, így 
a kliens azt hiszi, a szerver RSA alapú kulcscserét választott. 

A Handshake protokoll második fázisában a szerver elküldi egyszer hasz- 
nálatos Diffie-Hellman paramétereit (p, g, g7 mod p) a kliensnek. A kliens 
azonban a szerver egyszer használatos nyilvános RSA kulcsára vár, ezért a 
kapott üzenetet úgy értelmezheti, hogy p az RSA modulus, g pedig az ex- 
ponens. A Handshake harmadik fázisában a kliens generál egy 48 bájtos vé- 
letlen blokkot, amit Xf-gyel jelölünk, és elküldi (XI)8 mod p-t a szervernek. 
A támadó azonban elfogja ezt az üzenetet, és helyette a szerver által várt 
8? mod p-t küldi el a szervernek, ahol y-t a támadó választja. 

Mivel p prím, ezért a támadó az elfogott (Kf)8 mod p-ből hatékonyan ki 
tudja számolni Kf-et. Továbbá, mivel a támadó generálta y-t, ezért könnyen 
ki tudja számolni KZ — g9 mod p-t is. Kf-ről a kliens azt hiszi, hogy az egy, 
a szerverrel megosztott közös titok, XZ pedig a szerver által kiszámolt érték, 
melyről a szerver azt hiszi, hogy a klienssel osztja meg. Valójában azon- 
ban mindketten a támadóval osztják meg a titkukat. A támadó minden olyan 
információnak birtokában van, ami lehetővé teszi számára a Ki és a K2 mes- 
tertitkok kiszámítását Kf-ből, illetve XZ-ből. Ezek ismeretében azonban min- 
den kulcsot ki tud számítani, és az ezen kulcsokkal védett Record üzeneteket 
fel tudja törni, illetve meg tudja változtatni. Mivel a finished üzenetek el- 
küldésére csak a negyedik fázisban kerül sor, ezért azokat is tetszőlegesen 
manipulálni tudja a támadó, és ezzel képes eltüntetni az aktív támadás nyo- 
mait is. Más szavakkal, a finished üzenetek ellenére a kliens és a szerver 
nem szerez tudomást arról, hogy becsapták őket. 

A key exchange algorithm rollback támadást az teszi lehetővé, hogy a 
server-key-exchange üzenetet a kliens nem hitelesített információkra tá- 
maszkodva dolgozza fel. Egészen pontosan, a kliens a szerver finished üze- 
netének sikeres ellenőrzéséig nem lehet biztos abban, hogy a szerver va- 
lóban RSA alapú kulcscserét választott. Ennek ellenére, a kliens az RSA 
alapú kulcscsere módszer szerint dolgozza fel a szerver üzenetét. Figyeljük 
meg, hogy a szerver aláírása a server-key-exchange üzenetben nem oldja 
meg a problémát, mert az csak az üzenet tartalmát hitelesíti. Itt azonban a 
feldolgozás kontextusa az, amit hitelesíteni kellene az üzenet értelmezése 
előtt. Sajnos a mestertitok kompromittálódása után a finished üzenetek már 
nem nyújtanak védelmet, hiszen korábban is kihangsúlyoztuk, hogy a fini- 
shed üzenetek sikeres ellenőrzése csak azon feltétel mellett biztosítja a teljes 
Handshake hitelességét és sértetlenségét, hogy a mestertitok valóban titkos, 
sértetlen és hiteles. 
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A problémát úgy lehetne megoldani, hogy a szerver nemcsak a kulcscsere 
paramétereit írná alá a server-key-exchange üzenetben, hanem például az 
összes addigi vett és küldött Handshake üzenet hash értékét is. Ez a megol- 
dás összhangban volna az SSL filozófiájával abban az értelemben, hogy ha- 
sonló hash értéket ír alá a kliens a certificate-verify üzenetben, és a finished 
üzenetek számítása is az összes addigi Handshake üzenet hash értékéből tör- 
ténik. 


10.1.5. A TLS protokoll 


A TLS protokollt gyakorlatilag az SSL protokoll 3.1 verziójának is tekint- 
hetjük, melyben a fenti elemzésben azonosított hiányosságokat kijavították. 
A TLS és az SSL közötti főbb különbségek a következők: 


n a TLS Record protokollja véletlen hosszúságú kitöltést alkalmaz a forga- 
lomanalízis megnehezítésére; 


m a TLS Record protokollja a legújabb HMAC verziót használja és a MAC 
számítás magában foglalja a Record üzenet verziómezőjét is; 


u a TLS Handshake protokollja a finished üzenetet addig nem dolgozza fel, 
amíg nem érkezett change-cipher-spec üzenet; 

u az SSL Handshake során használt különböző MAC jellegű függvényeket 
(certificate-verify és finished üzenetek számítása, valamint a mestertitok 
És a kapcsolatkulcsok generálása) egységesítették a TLS-ben. 


10.2. IPSec 


Az IPSec protokoll a TCP/IP architektúra hálózati rétegének szabványosí- 
tott (RFC 2401, 2402, 2406, 2408, 2409) biztonsági protokollja. Ez azt je- 
lenti, hogy az IP és minden fölötte található protokoll (TCP, UDP, ICMP, 
stb.) számára védelmet biztosít. Két alprotokollja van, az AH (Authentica- 
tion Header) és az ESP (Encapsulated Security Payload). Az AH protokoll 
funkciói közé tartozik az IP csomagok integritásának védelme, eredetének 
hitelesítése és visszajátszásuk detektálása. Az ESP protokoll fő feladata az 
IP csomagok tartalmának rejtése, opcionálisan azonban az ESP is nyújthat 
integritásvédelem szolgáltatást. Természetesen az AH és az ESP protokollok 
kombinálhatók az IP csomagok teljeskörű védelme érdekében. 

Az IPSec protokollhoz tartoznak még az ISAKMP (Internet Security As- 
sociation and Key Management Protocol) és az IKE (Internet Key Exchange) 
protokollok. Mindketten kulcscserével kapcsolatos feldatokat látnak el. Az 
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ISAKMP egy általános célú keretprotokoll, mely bármely konkrét kulcscsere 
protokoll üzeneteit képes szállítani. Egy ilyen konkrét kulcscsere protokoll 
az IKE, mely jelenleg az IPSec hivatalos kulcscsere protokolljának szerepét 
tölti be. Az ISAKMP és az IKE protokollokat a teljesség kedvéért említet- 
tük meg, a továbbiakban azonban kizárólag az AH és az ESP protokollok 
ismertetésével foglalkozunk. 


10.2.1. Az AH protokoll 


Az AH protokoll tehát integritásvédelmet, eredethitelesítést és visszajátszás 
elleni védelmet biztosít az IP csomagok számára. Az integritásvédelmet és az 
eredethitelesítést úgy éri el, hogy az IP fejléc és az azt követő felsőbb szintű 
protokoll fejléce közé beszúr egy AH fejlécet, mely egy, a teljes IP cso- 
magra számolt üzenethitelesítő kódot (MAC) tartalmaz. A visszajátszások 
detektálásának érdekében, az IP csomagokat sorszámozza. Az AH fejlécben 
található MAC érték a sorszámot is védi. 





10.4. ábra. Az AH fejléc felépítése 


Az AH fejléc felépítését a 10.4. ábra szemlélteti. A fejlécben található 
mezők és azok jelentése a következő: 
m következő fejléc (next header): Ez a mező az AH fejlécet követő fejléc 
típusát adja meg, azaz az IP csomag tartalmára utal. 
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m hossz (length): Ez a mező az AH fejléc 32 bites szavakban mért hosszára 
utal. 

m Security Parameter Index (SPI): Ez egy azonosító, mellyel a küldő azt 
jelzi a vevő számára, hogy milyen módon és mely kulcsokat használva 
kell az AH fejlécet feldolgozni. Az AH protokoll feltételezi, hogy a küldő 
és a vevő korábban már megegyezett az alkalmazható algoritmusokban és 
kulcsokban, tipikusan az ISAKMP/IKE protokollokat használva. 


m sorszám (seguence number): Ez a mező az aktuális IP csomag sorszámát 
tartalmazza. 


m üzenethitelesítő kód (MAC): Ez a teljes IP csomagra számolt üzenethi- 
telesítő kód. A MAC számításának módját a 10.5. ábra szemlélteti. A 
számításhoz az IP fejléc változó mezőit (például TTL) és az AH fejléc 
MAC mezőjét nullával töltjük ki, majd az így kapott teljes csomagra ki- 
számoljuk a MAC értéket, és az eredményt visszaírjuk az AH fejléc MAC 
mezőjébe. 





10.5. ábra. Az AH fejléc MAC mezőjének számítása. 


A régi IP csomagok visszajátszásának detektálását az AH protokoll az 
AH mezőben található sorszám alapján végzi. A vevőnek van egy konstans 
W méretű vételi ablaka. A vételi ablak e, jobb széle megegyezik az eddigi 
legnagyobb sorszámú sikeresen vett csomag sorszámával. Az ablak bal széle 
pedig mindig ez — e,—W 1-1. A vevő számon tartja, hogy az [eg, er) interval- 
lumban mely csomagokat vette már egyszer. Tegyük fel, hogy egy új csomag 
érkezik, melynek sorszámát jelöljük s-sel. Ekkor a vevő a következőt teszi: 


n Has £ ep, akkor a vevő eldobja a csomagot. 
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- Ha e, £ s £ e, és s sorszámmal a vevő már vett egy csomagot, akkor 
eldobja a csomagot. 


m Ha ey £ s £ e, és s sorszámmal a vevő még nem vett csomagot, akkor 
a vevő ellenőrzi a csomag AH fejlécében található MAC értéket. Ha az 
ellenőrzés sikeres, akkor a vevő megjegyzi az s sorszámot, és elfogadja a 
csomagot. 


m Has e;, akkor a vevő ellenőrzi a csomag AH fejlécében található MAC 
értéket. Ha az ellenőrzés sikeres, akkor a vevő megjegyzi az s sorszámot, 
a vételi ablak jobb szélét s-re állítja, és elfogadja a csomagot. 


A vételi ablakra azért van szükség, mert az IP protokoll nem garantálja a 
csomagok sorrendhelyes kézbesítését. Ez azt jelenti, hogy normális körül- 
mények között is érkezhet olyan csomag, melynek sorszáma kisebb, mint az 
eddigi legnagyobb vett sorszám. Ha ez a csomag még benne van az ablak- 
ban, akkor a vevő elfogadja. Az ablak véges mérete biztosítja, hogy , túl régi" 
csomagokat nem fogad el a vevő. A véges méret miatt a vevőnek nem kell 
az összes eddig vett sorszámot megjegyeznie, elegendő csak azokat számon 
tartani, melyek beleesnek az aktuális ablakba. 


10.2.2. Az ESP protokoll 


Az ESP protokoll feladata az IP csomag tartalmának rejtése, és opcionálisan 
a tartalom integritásának védelme. Az előbbit az IP csomag tartalmának rejt- 
jelezésvél oldja meg a protokoll, az utóbbit pedig úgy, hogy az ESP fejlécre 
és a csomag tartalmára számít MAC kódot és azt a csomaghoz csatolja. Az 
AH-val ellentétben tehát az ESP MAC nem védi az IP fejléc mezőit. 

A 10.6. ábra az ESP-vel védett IP csomag felépítését szemlélteti. Az ESP 
fejléc tartalmaz egy azonosítót (SPD), mely az AH-hoz hasonlóan itt is azt 
jelzi, hogy a vevőnek milyen módon és mely kulcsokat használva kell a cso- 
magot feldolgoznia. Az ESP protokoll is feltételezi, hogy a küldő és a vevő 
korábban már megegyezett az alkalmazható algoritmusokban és kulcsokban, 
tipikusan az ISAKMPJIIKE protokollokat használva. Az ESP fejléchez tarto- 
zik még a csomag sorszáma is. 

A 10.6. ábrán szürkével jelöltük a csomag rejtjelezett részét. Blokk-kó- 
doló használata esetén a csomagot természetesen ki kell tölteni. A kitöltés 
hossza és az ESP fejlécet követő fejléc típusa (azaz a felsőbb protokoll faj- 
tája) a kitöltés után kerül, és szintén rejtjelezve van. Végül az ESP MAC 
zárja le a csomagot, mely opcionális, és nincs rejtjelezve. A blokkrejtjele- 
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10.6. ábra. Az ESP-vel védett IP csomag felépítése 


zőt CBC módban használja a protokoll. Az ehhez szükséges /V nyíltan kerül 
átvitelre a csomag tartalomrészének elején (az ESP sorszám után). 


10.2.3. IPSec a gyakorlatban 


Mind az AH, mind az ESP protokollt két üzemmódban lehet használni. Eze- 
ket szállítási (transport) és alagút (tunnel) módoknak nevezzük. Szállítási 
módban az AH vagy az ESP fejléc a csomag eredeti IP fejléce és a fel- 
sőbb szintű protokoll (például TCP, UDP) fejléce közé kerül. Alagút módban 
azonban az eredeti IP csomagot teljes egészében beágyazzuk egy másik IP 
csomagba (IP tunneling), és az AH vagy az ESP fejléc az új, és az eredeti 
IP fejléc közé kerül. Ekkor tehát az AH fejléc vagy az ESP trailer következő 
fejléc mezője IP-re utal. 
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Az alagút módot tipikusan biztonsági átjárók (security gateway), például 
tűzfalak között használjuk. Segítségével könnyen létrehozhatunk virtuális 
magánhálózatokat (Virtual Private Network —VPN), ahol két tűzfallal vé- 
dett belső hálózatot az interneten keresztül, IPSec-et használva biztonságo- 
san összekötünk. Ezt szemlélteti a 10.7. ábra. Tegyük fel például, hogy az 
Ni belső hálózaton található Hi gép egy IP csomagot küld az N2 belső háló- 
zaton található H2 gépnek. Mikor az IP csomag eléri a G1 tűzfalat, a tűzfal 
az egészet beágyazza egy G2-nek szóló IP csomagba, és azt IPSec védelem- 
mel ellátva küldi tovább. Így a csomag biztonságban jut át az interneten a G2 
tűzfalhoz. G2 elvégzi az IPSec feldolgozást (dekódolja a csomagot, ellenőrzi 
a MAC kódot stb.), majd a csomagban található eredeti IP csomagot (most 
már nyíltan) továbbküldi az eredeti címzettnek. 


AH ésívagy ESP alagut 





10.7. ábra. VPN létrehozása IPSec segítségével 


A fenti példában a Gi és G2 tűzfalak alagút módban használják az AH és 
ESP protokollokat. Ekkor az IP csomagok a Hi — Gi és a G?2 — H2 szakaszon 
védelem nélkül kerülnek továbbításra. Egy adott alkalmazásban ez esetleg 
nem jelent problémát, hiszen a belső hálózatok megbízhatónak tekinthetők. 
Ha ez nem így van, akkor biztonságos vég-vég kommunikációra van szükség 
Hi és H2 között. Erre a célra az AH és az ESP szállítási módja alkalmazható. 

Az AH és ESP protokollok szállítási módú alapkombinációja (transport 
adjacency) az, amikor az IP csomagon először az ESP feldolgozást végezzük 
el hitelesítés szolgáltatás (azaz MAC) nélkül, majd az így kapott csomagra 
elvégezzük az AH feldolgozást is. Ekkor tehát a fejlécek sorrendje: IP, AH, 
ESP, TCP/UDDP, . . . 

Alagút módban többféle kombinációt hozhatunk létre. Elékpzelhető pél- 
dául, hogy egy AH és/vagy ESP szállítási móddal védett IP csomagot még 
egy AH és/vagy ESP alagút móddal védett IP csomagba ágyazunk be. Sőt, 
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alagutak egymásba ágyazása is lehetséges, ennek alapkombinációi a követ- 
kezők: az alagutak két végpontja azonos (tipikusan hosztok között), az alagu- 
tak egyik végpontja azonos (tipikusan hoszt és tűzfal között) és az alagutak 
egyik végpontja sem közös (tipikusan tűzfalak között). 


10.3. PGP (Pretty Good Privacy) 


A PGP egy általános célú szoftver, melyet fájlok digitális aláírására és rejt- 
jelezésére lehet használni. Azért tárgyaljuk mégis az internet biztonságról 
szóló részben, mert a PGP megalkotásának fő motivációja az elektronikus 
levelezés védelme volt (alapjában véve az e-mail nem más, mint egy fájl). 
Ebben a vonatkozásában a PGP azért is érdekes, mert az SSL-től és az IPSec- 
től eltérően, egy aszinkron jellegű kommunikáció védelmét oldja meg. Az 
aszinkron jelzőt itt abban az értelemben használjuk, hogy a kommunikáló 
felek nincsenek egy időben jelen a kommunikáció során. Ez a tulajdonság 
alapvetően meghatározza a protokollt, hiszen az interakció lehetősége ki 
van zárva, és olyan üzenetekre van szükség, melyek önmagukban hordoz- 
nak minden információt, ami a feldolgozásukhoz szükséges. 

A PGP alapvetően nyilvános kulcsú kriptográfiára épül. Fő szolgáltatá- 
sai közé tartozik az üzenetek digitális aláírása, az aláírt üzenetek tömörítése, 
És a tömörített üzenetek rejtjelezése. Ezen szolgáltatások közül a rejtjelezést 
tárgyaljuk részletesebben. A digitális aláírás a hash-and-sign módszerrel tör- 
ténik, amiről már korábban esett szó (lásd 7.2. fejezet). 

Gondoljuk meg, hogy az aszinkron kommunikáció miatt a PGP-nek (és 
más hasonló rendszereknek) nincs lehetősége arra, hogy egy hagyományos 
kulcscsereprotokollt használva először létrehozzon egy kapcsolatkulcsot, 
majd azzal rejtjelezze az üzenetet (elektronikus levelet). Ezért kézenfekvő- 
nek látszik a nyilvános kulcsú rejtjelezés használata, hiszen a címzett nyil- 
vános kulcsa rendelkezésre állhat, vagy letölthető valamilyen kulcstárból. 
Tudjuk azonban, hogy hosszú üzenetek nyilvános kulcsú algoritmussal tör- 
ténő rejtjelezése nem praktikus. Ezért a PGP az ún. digitális boríték (digital 
envelop) technikát használja. Ennek az a lényege, hogy az üzenetet először 
egy frissen generált szimmetrikus kulccsal rejtjelezzük (például AES-sel), 
majd a szimmetrikus kulcsot kódoljuk a címzett nyilvános kulcsával, és a 
rejtjeles üzenetet a rejtjelezett szimmetrikus kulccsal együtt elküldjük a cím- 
zettnek. A címzett először a szimmetrikus kulcsot állítja vissza saját privát 
kulcsa segítségével, majd a visszaállított szimmetrikus kulccsal dekódolja az 
üzenetet. A digitélis boríték technikát a 10.8. ábra szemlélteti. 
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szimmetrikus , 
rejtjelező 





10.8. ábra. A PGP által is használt digitális boríték technika szemléltetése 


A PGP rendszer egy másik érdekessége a kulcsgondozás, illetve azon be- 
lül is a nyilvános kulcsok hitelesítésének módja. A PGP rendszerben ugyanis 
nem hitelesítés szolgáltatók (CA) bocsátják ki a felhasználók nyilvános kulcs 
tanúsítványait, hanem maguk a felhasználók. Ebben az értelemben tehát a 
PGP egy önszerveződő rendszer, nincs szüksége kiépített PKI-re. 

A PGP rendszerben minden felhasználó kiadhat egy tanúsítványt más fel- 
használók nyilvános kulcsára. A tanúsítvány formája hasonlít a hagyomá- 
nyos PKI-ben használt tanúsítványhoz, azaz minimálisan tartalmazza a fel- 
használó nevét, nyilvános kulcsát és a tanúsítványt kibocsátó felhasználó alá- 
írását. Ezeket a tanúsítványokat a felhasználók egymás között cserélgethetik, 
terjeszthetik, vagy valamilyen nyilvános adatbázisban elhelyezhetik. 

Minden U felhasználónak van egy lokális publikus kulcsadatbázisa is. 
Ezen adatbázis minden bejegyzése tartalmaz egy V felhasználó-azonosítót, 
V vélt Ky nyilvános kulcsát, és más felhasználók által V számára kiadott ta- 
núsítványokat. Ezek után U PGP szoftvere kiszámol egy hitelességmértéket, 
ami azt fejezi ki, hogy a rendelkezésre álló információk alapján U mennyire 
bízhat meg abban, hogy Ky valóban V kulcsa. 
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A hitelesség mértékének kiszámítása a következőképpen történik. U egy 
szubjektív bizalom értéket rendel minden tanúsítány kibocsátóhoz. A szub- 
jektív bizalom értékek a következők lehetnek: 


m ismeretlen felhasználó, 

m általában nem megbízható felhasználó, 
m általában megbízható felhasználó és 

m mindig megbízható felhasználó, 


ahol a megbízhatóság azt jelenti, hogy U mennyire bízik meg az adott fel- 
használó által kibocsátott tanúsítványokban. Ezután U szoftvere kiválasztja 
azokat a tanúsítókat, amelyek kulcsának hitelességéről már korábban meg- 
győződött (az U által aláírt kulcsokat hitelesnek fogadja, minden további 
ellenőrzés nélkül), majd kiszámítja az ezen tanúsítókhoz rendelt bizalom ér- 
tékek súlyozott összegét, ahol a súlyok U által konfigurálható paraméterek. 
Az eredmény adja a V — Ky összerendelés hitelességének mértékét. 


10.3. Példa. Tegyük fel, hogy a V — Ky összerendelést A, B és C tanúsítja, 
ahol U a következő szubjektív bizalom értékeket rendelte a tanúsítókhoz: A 
— általában megbízható, B — ismeretlen, C — általában megbízható. Tegyük 
fel továbbá, hogy A, B és C kulcsának hitelességéről már meggyőződött U 
szoftvere. Legyenek a súlyok olyanok, hogy a kulcs hitelességének megál- 
lapításához legalább két, általában megbízható felhasználó, vagy legalább 
egy, mindig megbízható felhasználó aláírása szükséges. Ekkor U szoftvere 
hitelesnek minősíti a V — Ky összerendelést, mert két, általában megbízható 
felhasználó, A és C aláírta, és mindkettőjük kulcsát hitelesnek tartja U rend- 
szere. Ellenben, ha például C kulcsa nem lenne hiteles, vagy C-t általában 
nem megbízható felhasználónak tartaná U, akkor Ky-t nem fogadná el hite- 
lesnek. [d 


11. 


Mobil hálózatok biztonsága 


Ebben a fejezetben két digitális mobiltelefon rendszer, a második generá- 
ciós GSM és a harmadik generációs UMTS példáján keresztül mutatjuk be 
a mobil hálózatok biztonságával kapcsolatos problémákat és azok lehetsé- 
ges megoldásait. A mobil kommunikációs rendszerek adatbiztonsági terve- 
zés szempontjából speciálisak a következő okok miatt: 


m fizikailag hozzáférhető rádiós csatornán is folyik kommunikáció, 
nm a mobilkészüléknek általában kicsi a számítási és a tárolási kapacitása, 
m a mobilkészülék időben változtatja helyét. 


Ennek megfelelően mind a GSM, mind az UMTS rendszerben lehetőség 
van a rádiós csatorna rejtjelezésére, valamint mindkét rendszerben különös 
figyelmet fordítottak a hálózati funkciókhoz történő hozzáférés megfelelő 
védelmére. Figyelembe vették a mobilkészülékek kis számítási kapacitását 
is, ezért mindkét rendszer védelme szimmetrikus kulcsú kriptográfiára épül, 
ami általában nagyságrendekkel kisebb számítási kapacitást igényel, mint a 
nyilvános kulcsú algoritmusok. A mobilitással kapcsolatban mindkét rend- 
szerben meg kellett oldani, hogy a mobilkészülékek idegen hálózatban (roa- 
ming közben) is azonosítani tudják magukat, és hozzáférjenek a hálózati 
funkciókhoz. 
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11.1. GSM biztonság 


A GSM rendszer biztonsági architektúrájában fontos szerepet játszik a mobil 
készülékekben található SIM kártya. A SIM kártya lényegében az előfizetőt 
képviseli a rendszerben. Ennek megfelelően a SIM kártya tárolja az U előfi- 
zető és a HN hazai hálózat közötti, hosszú élettartamú Ky Hy szimmetrikus 
kulcsot. Ezt a kulcsot használja az előfizető saját maga hitelesítésére, mikor 
egy beszélgetést kezdeményez, és ezen kulcs felhasználásával készülnek a 
beszélgetések rejtjelzésére használt kapcsolatkulcsok is. A SIM kártyában 
vannak implementálva a biztonsági algoritmusok is, ezért a Ky Hy kulcsnak 
soha nem kell elhagynia a SIM kártyát. A GSM biztonsági algoritmusainak 
(A3, AS, és A8) részletes leírása megtalálható a függelékben megadott hi- 
vatkozáson keresztül. 
A GSM rendszer fő biztonsági funkciói az alábbiak: 


m hitelesítés: A hálózat a következő kihívás-válasz alapú protokollt hasz- 
nálva hitelesíti az előfizetőt: 





GSM előfizető hitelesítés 


[69] VNOU: Identity Reguest 
2 UGVN: IMSI 

6) VNOHN: IMSI 

(44 HNOVN: RANDISRESIKc 
(5)  VNOU: RAND 

(6) . UGVN: SRES 

(7)  VNOU: ITMSIke 








ahol VN az idegen hálózat, melyben az U előfizető roaming közben sze- 
retne hívást kezdeményezni, és HN az U hazai hálózata. 

VN kérésére U elküldi nemzetközi IMS! azonosítóját (International Mo- 
bile Subscriber Identity) VV-nek. VN nem tudja hitelesíteni U-t, mert nem 
ismeri a Kun kulcsot. Ezért továbbküldi az IMSI azonosítót HN-nek, 
mellyel U hitelesítéséhez szükséges információkat kér HN-től. HN gene- 
rál egy RAND véletlenszámot, melyet kihívásnak szán U felé, kiszámítja 
a kihívásra adandó helyes SRES — A3(Ky Hn, RAND) választ, és generál 
egy friss Kc — A8B(Ky Hw, RAND) kapcsolatkulcsot, ahol A3 és A8 két al- 
kalmas függvény, melyet a szolgáltató akár maga választhat. Ezek után 
HN elküldi a RANDI SRESI Kc hármast VN-nek. 

VN elküldi a RAND véletlenszámot U-nak, aki Ky Hw ismeretében kiszá- 
mítja az SRES" — A3(Kyu in, RAND) választ és a Kc kapcsolatkulcsot. U 
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elküldi az SRES" választ VN-nek, aki összehasonlítja azt a HN-től kapott 
SRES értékkel. Egyezés esetén U hitelesítette magát. Végül VN generál 
egy ideiglenes TMS! azonosítót (Temporary Mobile Subscriber Identity) 
U számára, és azt Kc-vel rejtjelezve elküldi U-nak. Mivel U is birtokában 
van Kc-nek, ezért dekódolja az üzenetet. 


u anonimitás: A VN idegen hálózaton belül U a TMSI azonosítót használja 
az IMSI helyett, ezzel rejtve valódi kilétét egy, a rádió interfészen hallga- 
tózó támadó elől. 

m titkosítás: U és VN a Kc kulcsot használják a mobilkészülék és a bázis ál- 
lomás közötti forgalom rejtjelezésére. A rejtjelezéshez az A5 kulcsfolya- 
matos rejtjelezőt használják, mely a GSM szabványban van specifikálva. 


u hozzáférésvédelem: A SIM kártya egy PIN kód segítségével hitelesíti az 
előfizetőt, és ezáltal biztosítja a rendszerhez történő illetéktelen hozzáfé- 
rés megakadályozását. 


A fenti négy biztonsági funkciót tekintve a következő észrevételeket te- 
hetjük: 
mu A hozzáférésvédelmi megoldás a technológiailag biztonságos smart kár- 
tya alapú SIM felhasználásával jó megoldás, ami tovább él a harmadik 
generációs UMTS rendszerben is. Ezen a téren a biometrikus azonosí- 
tás technológiájában várható előretörés hozhat új megoldásokat a közeli 
években (újjlenyomatolvasó vagy hangazonosító a mobiltelefonban). 


u A partner-hitelesítés csak egyirányú. Ugyanakkor az előfizetőnek is meg 
kellene tudnia győződni arról, hogy nem egy hamis bázisállomással áll-e 
szemben. Az UMTS ebben a vonatkozásban a kölcsönösséget vezeti be, 
s nemcsak az előfizető, de a hálózati infrastruktúra elemei is hitelesítik 
magukat. 


u A forgalom rejtelezéses védelme csak a rádiós szakaszra vonatkozik, azaz 
a bázisállomásokat összekötő gerinchálózatra nem. Következésképpen 
némileg megtévesztő a GSM szolgáltatással kapcsolatosan kiemelt rejt- 
jelezés funkció, mivel összességében nem biztonságosabb, mint a veze- 
tékes telefonszolgáltatás. A rejtjelezés a GSM-ben alapvetően nem egy 
szolgáltatás-minőség-emelő funkció, hanem inkább kényszerű intézkedés 
a rádiós szakaszon történő továbbítás miatt. 

m Az előfizető a kapcsolat elején nyíltan küldi el az IMSI azonosítót, s így 
az anonimitást veszélyezteti. Ez a megoldás elkerülhetetlen, mivel a kap- 
csolat legelején nem lehet elkerülni bizonyos címinformációk nyílt továb- 
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bítását. Meg kell továbbá jegyezni, hogy az anonimitást csak a rádiós 
szakaszt lehallgató támadóval szemben biztosítja a TMSI használata, a 
rendszer többi résztvevőjével (pl. az idegen hálózattal) szemben nem. Az 
anonimitás-megoldások széleskörű kibővítése az egyik fontos új eleme a 
harmadik generációs rendszereknek. 


11.1.1. . Támadások a GSM ellen 


Ezen a ponton célszerű röviden áttekinteni a fenti szolgáltatások hiányossá- 
gait kiaknázó ismert támadások elvét. Ezeket igyekeztek figyelembe venni 
az új, harmadik generációs rendszer tervezése során. 


Kapcsolatfelvételi protokoll támadása (IMSI catcher). Az ,IMSI catcher" 
támadás a MIM (Man-In-the-Middle) támadások egy példája, amelynek so- 
rán a támadó megtudja a felhasználó valódi IMS/ azonosítóját. A támadó, 
akit X-szel jelölünk, rendelkezik egy olyan eszközzel, mely a mobilkészülék 
felé bázisállomásként, a legális bázisállomás felé pedig mobilként lép fel. A 
támadás egy fizikai feltétele, hogy X a hiteles bázisállomásnál nagyobb tel- 
jesítménnyel sugározzon a mobilkészülék felé a kapcsolatfelvételi protokoll 
legelején, amikor az Identity Reguest parancsot kiadja. Ennek következté- 
ben a mobilkészülék nem a hiteles bázisállomásnak, hanem X-nek küldi el 
az IMSI azonosítót. X ezek után minden forgalmat reléz a mobilkészülék 
és a hiteles bázisállomás között. X a protokoll további lépései során arra is 
képes lehet, hogy a bázisállomástól érkező rejtjelezést bekapcsoló parancsot 
(Cipher Mode Command (Start cipher)) elnyomva, rejtjelezés nélküli állapo- 
tot állítson elő, azaz kikapcsolja a rejtjelezés funkciót. Mindezen támadási 
lehetőségek egyértelműen protokollhibák eredményei. 


SIM klónozás. A támadás célja más számlájára történő telefonhasználat. A 
támadás közvetlen célja a SIM kártyán tárolt titkos szimmetrikus kulcs meg- 
állapítása. A támadás viszonylag erős előfeltételei a következők: 
1. a támadónak a támadás idejére fizikailag birtokolnia kell a támadott SIM 
kártyát és ismernie kell a kártyához tartozó PIN kódot, 
2. a SIM kártyán az A3 és A8 algoritmusok egy COMP128 néven ismert 
implementációjának kell lennie. 
A COMPL28 algoritmus gyengeségei következtében a titkos kulcs nagy- 
ságrendileg 150 000 SIM kártyához intézett megfelelő kérés alapján megál- 
lapítható. Mivel ez az egyetlen titok a SIM-ben, ezzel már másolat is előál- 
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lítható. A támadás megelőzhető lett volna, ha bevezetés előtt úyalvánosságra 
került volna az algoritmusok leírása, és kiderült volna azok gyengesége! . 


Hitelesítési adatok lehallgatása. Amikor az idegen hálózat lekéri a hitelesí- 
téshez szükséges paramétereket (RAND, SRES, Kc) a hazai hálózat operáto- 
rától, akkor a paraméterek továbbítása tipikusan nem rejtjelezett csatornán 
történik a két hálózat között, s így azok lehallgathatók. A támadó az SRES-t, 
mint a RAND kihívásra adandó helyes választ megismerve hitelesen be tud 
jelentkezni a távoli bázisállomáshoz. Ezen kívül a Kc kulcs ismeretében a tá- 
madó le tudja hallgatni a bázisállomás és a mobilkészülék közötti rejtjelezett 
forgalmat. 


Számlázási adatok és adatok privát kezelése. Egy számlázási rekord (bil- 
ling record) több olyan adatot tartalmaz, ami kényes, privát információnak 
tekinthető (pl. ki kivel, honnan, mikor, mennyi ideig beszélgetett). Továbbá 
mindezen rekordok a számlázóközpont adatbázisában az ügyfélhez csato- 
lódva tárolódnak. Technikailag a szolgáltató ugyan indokolhatja ezek szük- 
ségességét a számlázáshoz, ugyanakkor ezen információk lehetővé teszik az 
ügyfelek folyamatos monitorozását, követését, bárhol is járnak a világban. 
Ennek folyamatosságát erősíti a periodikus helymeghatározás frissítés (10- 
cation update). A számlázás kapcsán történő adatfelhalmozás elkerülhető a 
szolgáltatás előre fizetésével (pre-paid card). 


11.1.2. A WAP szolgáltatás 


A WAP (Wireless Application Protocol) alapvető célja az, hogy lehetővé te- 
gye az internet elérést a mobiltelefonról. A WAP protokoll architektúra biz- 
tonságért felelős rétege a WTLS (Wireless Transport Layer Security) proto- 
koll, mely lényegében az SSL vezetéknélküli környezetre módosított válto- 
Zata. 

A 11.1. ábrán láthatjuk az adatbiztonsági modellt a WAP környezetben. 
A WAP átjáró (WAP gateway) alapvető feladata a HTML és a WML (Wire- 
less Markup Language) közötti konverzió a szállított tartalmat illetően. Ezen 
konverzióra azért van szükség, mert a mobil eszköz oldalán szűkösek az erő- 
források (vezetéknélküli csatorna sávszélesége, illetve a mobil eszköz pro- 
cesszálási teljesítménye és kijelzőjének megjelenítési képessége). A WAP 


1A részletek leírása megtalálható a http://www.isaac.cs.berkeley.edu/isaac/gsm-fag.htmi 
oldalon. 
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mobil szolgáltató ——j e Internet 


mobil. tartalom 
eszköz szerver 
WTLS [ve] SSL 


védett 


1I.I. ábra. A WAP biztonsági modell 


eszköz mikroböngészője a WML nyelven megjelenő tartalmakat képes ke- 
zelni (olvasni és interpretálni). Ebben a megközlítésben a WAP átjáró és a 
mobil eszköz együttese az internetes PC alapú böngészés egy vezetéknél- 
küli megfelelője, az internet egyfajta vezetéknélküli meghosszabbítása, fi- 
gyelembe véve az említett erőforrásszűkösségi szempontokat. 

A mobil eszköz és a WAP átjáró között a WTLS, a WAP átjáró és a tar- 
talomszerver között az SSL protokoll védi a kommunikációt. A WAP átjáró 
dekódol, majd újrakódol az SSL és a WTLS között. A WAP átjárón belül 
azonban nyíltan találhatók az adatok. Ez komoly adatbiztonsági kockázatot 
jelenthet. Tegyük fel például, hogy egy X ország bankja WAP-on keresztüli 
szolgáltatást nyújt B-nek. B egy olyan Y országba utazik, ahol kevésbé kriti- 
kus kérdésként kezelik a biztonságot, s az Y ország mobil szolgáltatója által 
kezelt WAP átjáró kedvező támadási pontot nyújt. 

Egy megoldás erre a problémára az, mikor a tartalomszerver közvetlenül 
WAP tartalmat (WML--WTLS) szolgáltat. Ezt egyszerűen úgy teheti meg, 
hogy a WAP átjáró képességet a saját web szerverére telepíti, s így ezen 
szerver és a mobil között egy vég-vég biztonságos kapcsolat épül fel. Ekkor 
a mobilszolgáltató által üzemeltetett WAP átjáró nem vesz részt a kapcsolat- 
ban. Ehhez azonban a mobil tulajdonosának a mobil konfigurációját úgy kell 
beállítania, hogy WAP átjáróként az adott tartalomszerver legyen megadva. 
A konfiguráció állítgatása azonban kényelmetlenséget okoz, főleg ha több 
különböző kedvenc szervert szeretnénk egymás után elérni. Amennyiben a 
WAP átjáró automatikusan felismerné, hogy már eleve WTLS protokollal vé- 
dett tartalom érkezik a tartalomszerver felől, akkor azt egyszerűen relézhetné 
a mobil felé, míg az SSL-el érkező HTML tartalmat szokásosan konvertálná 
WML-AWTLS tartalomra. 
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11.2. UMTS biztonság 


A harmadik generációs UMTS rendszer biztonsági architektúrája a GSM 
rendszerből nőtt ki, ezért alapjaiban sok hasonlóságot mutat a két rendszer. 
A GSM-hez hasonlóan, az UMTS rendszerben is, minden U felhasználónak 
van egy Kun titkos szimmetrikus kulcsa, amit a HN hazai hálózattal oszt 
meg. Ez a kulcs, és az azt használó fi, f2, fz, fa, és fs algoritmusok a felhasz- 
náló mobilkészülékében a SIM kártyán vannak tárolva. A kulcson és az algo- 
ritmusokon kívül, U és HN nyilvántart egy számlálót, melynek aktuális érté- 
két U-nál SONy-val, HN-nél pedig SONy-nel jelöljük. A számlálót a felek 
a partner-hitelesítés és kulcscsere protokoll minden futása során növelik. 


Protokoll. Az UMTS partner-hitelesítés és kulcscsere protokoll (a továb- 
biakban röviden UMTS protokoll) célja a felhasználó és a hálózat kölcsö- 
nös hitelesítése, kapcsolatkulcsok létrehozása rejtjelezésre és integritásvéde- 
lemre, és a kapcsolatkulcsok frissességének biztosítása a felek számára. Az 
ezen célokat megvalósító UMTS protokoll a következő üzeneteket használja: 





UMTS partner-hitelesítés és kulcsere protokoll 


a) VNOU:  Identity Reguest 

2) UGVN: IMSI 

(3) VNOHN: IMSI 

(4) HNOVN: RANDIXRESICKIIKJAUTH 
(5) VN OU: RAND]JAUTH 

(6) . UGVN: SRES 


A GSM protokollhoz hasonlóan, a felhasználó elküldi IMS/ azonosítóját 
az őt kiszolgáló VN idegen hálózatnak. VN továbbküldi az IMSI azonosítót 
a felhasználó HN hazai hálózatának. HN válaszként egy 








RANDIXRESICKIIKI AUTH 


öt elemből álló ún. hitelesítő vektort küld VN-nek, ahol 


n RAND egy frissen generált véletlenszám, melyet HN kihívásnak szán U 
számára, 


u XRES — f2(Ku Hn, RAND) a kihívásra adandó helyes válasz, 

u CK — f3(Ku un, RAND) a rejtjelezésre használandó kapcsolatkulcs, 

u IK — f4(Ku un. RAND) integritásvédelemre használandó kapcsolatkulcs, 
u AUTH pedig egy hazai hálózatot U felé hitelesítő blokk. 
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AUTH számításához HN először előállít egy SON sorozatszámot SONyy- 
ből, majd generál egy AK — f5(Ku iv, RAND) anonimitás kulcsot és egy 
MAC — fi (Ku in SONIRANDJAMF) MAC értéket, ahol AMF egy operátor- 
specifikus kulcsmenedzsment paramétereket tartalmazó mező. Ezután HN 
eggyel megnöveli SONyn értékét, és a következő módon állítja össze a hite- 
lesítő blokkot: 


AUTH — (SON G AK) JAMFI MAC. 


Miután a hitelesítő vektort megkapta, VN elküldi a RAND kihívást és 
az AUTH hitelesítő blokkot U-nak. Ezek alapján U kiszámolja az AK — 
f5(Ku un, RAND) kulcsot, majd ennek segítségével dekódolja az AUTH 
blokk első mezőjét, és visszaállítja a HN által használt SON sorozatszámot. 
Ezután U ellenőrzi az AUTH blokk MAC mezőjét f1(Ky un, SONIRANDI 
AMPF) kiszámításával és a kapott értékhez történő hasonlítással. Ha a MAC 
helyes, akkor U ellenőrzi, hogy az SON sorozatszám nagyobb-e, mint sa- 
ját SONy értéke. Amennyiben nem, úgy U az üzenetet visszajátszásnak te- 
kinti. Ha minden ellenőrzés sikeres, akkor U hitelesítette a hálózatot. Ez- 
után U saját sorozatszámának értékét SON-re állítja, majd kiszámolja az 
SRES — f2(Ku RAND) választ, és a CK — f3(Kuiw, RAND) és IK — 
fa(Ku un, RAND) kulcsokat. Végül visszaküldi SRES-t VN-nek. 

VN a kapott választ összehasonlítja az XRES értékkel. Egyezés esetén U 
hitelesítette magát. A továbbiakban U és VN a CK és IK kulcsokat használva 
védik a kettőjük közötti forgalmat. Külön protokoll gondoskodik a sorozat- 
számok beállításáról, ha U és VN kiesnek a szinkronból. 


Analízis. A felhasználó hitelesítés a GSM-hez hasonló módon, egy kihívás- 
válasz protokollra épülve valósul meg. Az UMTS újdonsága a GSM-hez ké- 
pest a hálózat hitelesítése a felhasználó felé. Ez az AUTH blokk MAC me- 
zőjének segítségével történik, melyet csak a Ky H1w ismeretében lehet előál- 
lítani. A RAND érték (és azon keresztül a CK és IK kulcsok) frissességét az 
SON sorozatszám ellenőrzésével biztosítja a protokoll. A felhasználó ano- 
nimitását, a GSM-hez hasonlóan, egy ideiglenes azonosító használata bizto- 
sítja. Ezen kívül az SON érték nem nyíltan kerül átvitelre, így a sorozatszá- 
mok megfigyelése és esetleges korrelációk keresése sem fedi fel a felhasz- 
náló identitását. 

Az UMTS protokoll hibája, hogy az idegen hálózat nem hitelesíti magát U 
felé. Azaz U nem tudja biztosan, hogy melyik hálózatot használja a roaming 
alatt. Ezt egy támadó úgy használhatja ki, hogy U forgalmát titkon átirá- 
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nyítja egy másik, nem az U által választott hálózatba. Elképzelhető például, 
hogy különböző hálózatok különböző biztonsági követelményeket írnak elő, 
így a támadó megpróbálhatja a forgalmat egy olyan hálózatba terelni, ahol 
nincs előírva a rejtjelezés a rádiós szakaszon sem. Ha az átirányítás sikeres, 
a támadó szabadon lehallgathatja a felhasználó forgalmát. 

Az átirányításos támadás kivitelezéséhez a támadó egy ,IMSI catcher" 
jellegű eszközt használ, mely a felhasználó felé bázisállomásként, a bázisál- 
lomások felé pedig mobil eszközként viselkedik. A támadás menete a követ- 
kező: 

UGXywn: IMSI 
Xy Oo VN": IMSI 
VN" o HN: IMSI 
HNGVN": RANDIXRESICKIIKJAUTH 
VN! 0 Xy: RANDJAUTH 
XywGU: RANDJAUTH 
U OXyn: SRES 
Xy o VN!: SRES. 


Figyeljük meg, hogy a támadó csak annyit tesz, hogy U forgalmát átirá- 
nyítja VN"-be, míg U azt hiszi, hogy V-t használja. VN" sem sejt semmit, a 
fenti UMTS protokollnak megfelelő lépéseket hajtja végre HN-nel. Még az 
is elképzelhető, hogy a gerinchálózaton valamilyen más protokollt használva 
hitelesíti magát HN-nek. Ez azonban nem segít U-nak észrevenni, hogy nem 
VN-t használja, mert a HN által generált AUTH blokk semmilyen informá- 
ciót nem tartalmaz az idegen hálózat identitására vonatkozóan. Így végül U 
csak akkor értesül a csalásról, mikor hónap végén megkapja a számláját, és 
azon VN" használata lesz feltüntetve VN helyett. 

Ezt a támadást el lehetne kerülni, ha az AUTH blokk explicit utalást tartal- 
mazna VN identitására vonatkozóan, azaz ha az UMTS protokoll betartaná 
a 8.6. fejezetben ismertetett 3. protokoll tervezési szabályt. 


12. 


Elektronikus fizetési protokollok 


Az elektronikus — főképp az internetes — fizetési rendszer alapvető kérdése 
a biztonság. A biztonság lényegét tekintve azt jelenti, hogy a rendszer egyik 
résztvevőjének sem kell félnie attól, hogy pénzt fog veszíteni. A fizetési 
rendszer tervezésénél minden oldal (vásárlói, kereskedői és banki) bizton- 
sági követelményeit figyelembe kell venni, s arra kell törekedni, hogy a fe- 
lek biztonsága minél kisebb mértékben függjön a többiek viselkedésétől. A 
fő biztonsági szempontok a következők: 


m autorizáció: Az autorizáció követelménye azt jelenti, hogy egy banki ügy- 
fél pénzét csak az ügyfél jóváhagyásával lehessen költeni. Ehhez szüksé- 
ges az autorizáció (felhatalmazás, jóváhagyás), amely biztosítja, hogy a 
jóváhagyás tényleg a felhasználótól érkezett. Ezért megbízhatóan hitele- 
síteni kell az ügyfelet, aminek számos technikája ismert: személyes telefo- 
nos jóváhagyás; jelszó vagy PIN kód alkalmazása; biometriai azonosítás; 
digitális aláírás. 

m adatok titkossága és hitelessége: Biztosítani kell egy tranzakció adatainak 
titkosságát a tranzakcióban nem érintett felek számára. Erre a rejtjelezés 
technikáit használjuk. Hasonlóan, garantálni kell minden üzenet hiteles- 
ségét, ami azt jelenti, hogy annak címzettje képes megállapítani, hogy az 
üzenet eredeti formában, az eredeti küldőtől érkezett-e meg. Ezen köve- 
telmények kielégítésére különböző kriptográfiai ellenőrzőösszeg-képző és 
digitális aláírás technikák állnak rendelkezésre. 

m elérhetőség és megbízhatóság: Egy internetes fizetési rendszernek bizto- 
sítania kell a résztvevők számára a folyamatos elérhetőséget. Ez nem min- 
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dig teljes mértékben lehetséges, mivel az internet-infrastruktúra, amelyre 
épülnek, több nyilvános hálózat összekapcsolásával jött létre, emiatt vi- 
szonylag gyakori lehet egyes kommunikációs csatornák megszakadása, 
vagy telítettsége. Ez off-line rendszerek esetén kevesebb gondot okoz, pl. 
elég a deposit tranzakció elhalasztása. On-line rendszerek esetén a bank 
elérhetetlensége minden tranzakciót meghiúsít. Ezért akár tartalékrend- 
szerek kiépítése is szükséges, amely súlyos meghibásodás esetén műkö- 
désbe lépne. 

A tranzakcióknak atomiaknak kell lenniük, vagyis vagy a tranzakció min- 
den műveletének kell végrehajtódnia, vagy egynek sem. A gyakorlatban 
azonban egy tranzakció megszakadhat végrehajtása közben egy külső ok 
miatt (pl. kommunikációs hálózat meghibásodása). Az így megszakadt 
tranzakciók nem szabad, hogy kárt okozzanak a résztvevőknek, valamint 
ebből nem profitálhat egy harmadik fél. A félbemaradt tranzakciók keze- 
léséhez ezért gondoskodni kell a megszakadás detektálásáról és jelzéséről, 
valamint a megszakadt tranzakciók folytatásának lehetőségéről. 

m személyes adatok védelme és anonimitás: Gondoskodni kell arról is, hogy 
egy tranzakció lebonyolítása során a rendszer többi résztvevőjéhez ne ke- 
rüljön a tranzakció szempontjából szükségtelen személyes adat. Egyes 
adatok lehetnek titkosak a tranzakcióban résztvevő egyik fél számára. Pél- 
dául az anonimitást biztosító rendszerekben a vásárló neve titkos marad a 
kereskedő előtt. 


12.1. Elektronikus fizetési rendszerek (EPS) csoportosítása 


Egy on-line tranzakciónak három szereplője van: a vásárló, a kereskedő és 
a Bank. (A Bank itt lehet valódi bank, hitelkártya társaság, illetve bármely 
olyan fél, amely hitelesíteni tudja a vásárlást fedezeti szempontból). A fize- 
tési rendszerek osztályozása történhet az alábbi fő szempontok szerint: 

m kredit vagy debit, 

m on-line vagy off-line, 

m azonosított vagy anonim. 

A debit rendszer úgy működik, mint egy szokásos banki csekkszámla. 
Először pénzt töltünk a számlára, majd abból fizetünk vásárlásokkor, mai 
szokások szerint, amikor például ATM-ről mágnescsíkos, PIN kódos bank- 
kártyával pénzt veszünk le, vagy amikor a számlánkról havonta automatiku- 
san átutal a bank közüzemi számláink kiegyenlítésére, a banki számlánkról 
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kerül leemelésre az összeg. Ha egy EPS a vásárlás során előbb ellenőrzi a 
bankszámlánkon levő összeget, s csak aztán jelez vissza a kereskedőnek, 
hogy lebonyolítható a fizetőképesség szempontjából a tranzakció, akkor de- 
bit rendszerről van szó. Azaz először befizetünk, aztán költünk. A kredit (hi- 
tel) rendszerű vásárlás során viszont először költünk — hitelünk mértékéig — 
és aztán fizetjük vissza a hitelben elköltött összeget. 

Online vásárlás során a kereskedő kéri a harmadik fél (a Bank) jóváhagyá- 
sát. A vásárló összeállít egy üzenetet, amely tartalmazza például a vásárolt 
termék/szolgáltatás megjelölését, a vásárló és kereskedő nevét, a pénzössze- 
get, a vásárló bankszámlaszámát, a vásárlás időpontját, és a vásárló által az 
üzenetre adott digitális aláírást. Ezt az üzenetet a vásárló elküldi a kereske- 
dőnek, aki azonnal továbbítja azt a Bank felé jóváhagyás végett. A visszajel- 
zés után a kereskedő elfogadja a vásárlás üzenetet, s rendbenhagyólag visz- 
szajelez a vásárlónak. 

Offline vásárlás során a tranzakció a vásárló és a kereskedő között jön 
létre harmadik fél közbeiktatása nélkül, azaz a vásárló továbbítja a pénzt 
a kereskedőnek, aki maga meg tud győződni annak hitelességéről. A hét- 
köznapi papírpénzes vásárlásaink ezen kategorizálásban off-line vásárlásnak 
felelnének meg. 

Az azonosított fizetés során követhetők a vásárló korábbi tranzakciói. Pél- 
dául hitelkártyás vásárlás során egy papír dokumentum is készül a kereskedő 
boltjában, aki a , kártyalehúzós" termináljáról telefonon keresztül ellenőrzi a 
vásárló jelenlétében a hitelképességet, s egy papír dokumentumon megje- 
lenik a vásárló azonosítója (név, kártyaazonosító), sőt a vásárló aláírását is 
adja, hogy valóban megtörtént a vásárlás. Egy anonim fizetési rendszerben a 
vásárló adatai titokban maradnak, s nem követhetők a vásárlásai. 

Az azonosított és anonim rendszereket tovább osztályozhatjuk a kommu- 
nikáció on-line illetve off-line jellege szerint: 


u Azonosított on-line EPS esetén mind a kereskedő, mind a Bank azonosítja 
a vásárlót, s a kereskedő a Banktól vissszaigazolást vár. Ezen rendszernek 
a napi megfelelője a kredit vagy a debit kártyás vásárlás egy szokásos 
áruházban. 


n Anonim on-line EPS esetén a vásárló anonim marad a kereskedő számára. 
A kereskedő csak a vásárló gépének IP címét ismeri (pontosabban azt az 
IP címet, amit vásárláskor használt). A kereskedő a Banktól vissszaigazo- 
lást kap, ahol a Bank számára azonosított a vásárló, azaz a Bank követni 
tudja a vásárlásokat. 
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m Azonosított off-line EPS esetén mind a kereskedő, mind a Bank ismeri a 
vásárlót, de a banki számítógép on-line elérése valamilyen szempontból 
(pl. nincs meg a megfelelő infrastruktúra) nem lehetséges vagy kényel- 
metlen. Intelligens chipkártyák segítségével történő — vásárlás helyszíni 
— off-line fizetés a tipikus példa, ahol a chipkártya tárolja az elektro- 
nikus készpénzt, s a chipkártya garantálja annak fizikai és algoritmikus 
védelmét. 


ma Anonim off-line EPS esetén a vásárló anonim marad mind a kereskedő, 
mind a Bank számára. A kereskedő csak a vásárló gépének IP címét is- 
meri, azt az IP címet, amit vásárláskor használt. 


12.2. Hitelkártyás fizetés az interneten: SET 


A SET (Secure Electronic Transactions) a hagyományos bankkártyás fize- 
tési modellből nőtt ki. Kifejlesztését a Visa és a MasterCard végezte a 90-es 
években. A cél egy olyan rendszer létrehozása volt, amely biztonságos kár- 
tyás fizetést tesz lehetővé az interneten. Ennek megfelelően a SET az alábbi 
biztonsági szolgáltatásokat nyújtja: 


m a tranzakcióban részt vevő felek hitelesítése, 


a a tranzakciós adatok titkosítása; bizonyos információk még a tranzakció- 
ban résztvevő felek elől is rejtve vannak (pl. a kereskedő nem látja a vá- 
sárló hitelkártyaszámát), és 


m a tranzakciós adatok integritásának védelme. 


Építő elemek. A fenti követeleményeket a SET nyilvános kulcsú kriptográ- 
fiára alapozva elégíti ki. A megoldásban központi szerepet kapnak a kulcsta- 
núsítványok, a digitális boríték (digital envelop) technika és a kettős aláírás 
(dual signature) technika. 

A digitális boríték technikáról a PGP tárgyalásánál, a 10.3. szakaszban 
már esett szó. Tegyük fel, hogy egy M üzenetet szeretnénk rejtjelezni B nyil- 
vános kulcsával, Kg-vel. A hatékonyság növelése érdekében azonban nem 
tanácsos Kg-t közvetlenül M-en alkalmazni. Helyette M-et rejtjelezzük egy 
frissen generált k szimmetrikus kulccsal (és egy alkalmas szimmetrikus kul- 
csú rejtjelezővel), majd csak a szimmetrikus kulcsot rejtjelezzük Kg-vel. Az 
így nyert (k)x, 1 (M)x üzenetet nevezzük digitális borítéknak, és a további- 
akban (M]x,-vel jelöljük. 
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A kettős aláírás lényege a következő. Legyen adva két dokumentum, Mi 
és M2. Tegyük fel, hogy az A fél mindkettőt együttesen szeretné aláírni, de 
úgy, hogy két ellenőrző fél, Bi és B2 közül By csak M1-et láthassa, B2 pedig 
csak M2-t. Ha A egyszerűen képezné a sig,(MilM2) aláírást, az nem lenne 
megfelelő, mert annak ellenőrzéséhéz szükség van mind az Mi, mind az M2 
dokumentumra. A helyzeten az sem segít, ha A az aláírást az összefűzött 
dokumentum h(Mi]IM2) hash értékére képezi. A SET a problémát úgy oldja 
meg, hogy A a h(h(Mi)Ih(M2)) hash értéket írja alá, majd B1-nek elküldi 
az Mi ] h(m2) I siga(h(h(Mi)Ih(M2))) üzenetet, 82-nek pedig elküldi az 
M2 1. h(M)) I siga(R(R(MÓ)Ih(M2))) üzenetet. Így Bi csak M1-et látja, az 
aláírást mégis ellenőrizni tudja, mert megkapja az ehhez szükséges h(M2) 
hash értéket is, amiből viszont M2-t nem tudja kitalálni. Hasonlóképpen B2 
is ellenőrizni tudja az aláírást, de nem látja M1-et. Továbbá, az így konstruált 
aláírás összeláncolja az Mi és M2 dokumentumokat, mintha A azokat együtt 
írta volna alá. A további tárgyaláshoz a következő jelölést vezetjük be: 


dsiga (Mi, M2) — Mi I h(M2) I siga(h(h(Mi)ln(m2)))- (12.1) 


Protokoll. A SET protokoll részvevői a következők: 
nm a(C kártyatulajdonos vásárló (Cardholder), 

mu az M kereskedő (Merchant) és 

u a PG banki interfész (Payment Gateway). 


A protokoll minden résztvevője rendelkezik saját publikus-titkos kulcs- 
párral külön a rejtjelezés és külön a digitális aláírás céljára. Ez lehetővé teszi 
önálló szabályzás kialakítását a titkosítási illetve a hitelesítési (üzenetinteg- 
ritás és forráshitelesítés) feladatokban. A SET saját, globális PKI-ra támasz- 
kodik, mely hierarchikus felépítésű. A hierarchia csúcsán a gyökér hitelesítő 
szolgáltató (Root CA) található, majd alatta a bankkártya márkák hitelesítő 
szervei állnak (Brand CA). Ezen utóbbiak hitelesítik a földrajzi hitelesítő 
szerveket (Geopolitical CA), majd azok külön az általuk lefedett kereskedő- 
ket, vásárlókat és pénzügyi intézményeket (bankokat). 

A protokoll egyszerűsített sémája a 12.1. ábrán látható. A protokoll lépé- 
sei a következők: 








rendelési info. 
fizetési utasítások 


aláírás 
kettős aláírás 
digitális boríték 














H6E 





12.I. ábra. A SET protokoll fontosabb üzenetei 


1. Böngészés 
A tranzakció első lépése az, hogy a vásárló az interneten böngészve rátalál 
a kereskedő on-line áruházára, ott egy termékre, s jelzi vásárlási szándékát 
(pl. megnyomja a ,, Vegyél most!" gombot a termék mellett). 

2. Tranzakció kezdés kérelem (Initiate Reguest) 
A vásárló kitölti a rendelési űrlapot, megadja a használni kívánt bankártya 
márkáját (pl. VISA), és elküldi ezen adatokat a kereskedőnek. 

3. Tranzakció kezdés válasz (Initiate Response) 
Miután a kereskedő megkapta a vásárló kezdési kérelmét, generál egy TID 
tranzakció-azonosítót és azt saját digitális aláírásával látja el. Ezután a 
következő választ küldi a vásárlónak: 


sig ero (IID) I Cert(Ká)) I Cert(KI79) I Cer( KE). 


Az aláírt tranzakció-azonosítón kívül az üzenet tartalmaz még három ta- 
núsítványt is: a kereskedő KÍ8) aláírás-ellenőrző kulcsának tanúsítvá- 
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nyát, a kereskedő K, 9 6úlall nyilvános rejtjelező (kulcscsere) kulcsának ta- 
núsítványát és a banki interfész KÁ) nyilvános rejtjelező (kulcscsere) 
kulcsának tanúsítványát! . A vásárló szoftvere ellenőrzi a megkapott tanú- 
sítványokat és a kereskedő aláírását a tranzakció azonosítón. 
4. Vásárlási kérelem (Purchase Reguest) 

A vásárló szoftvere előállítja a rendelési információkat (Order Informa- 
tion) tartalmazó OI dokumentumot és a fizetési utasításokat (Payment 
Instructions) tartalmazó PI dokumentumot. Mind OI, mind PI tartalmazza 
a TID tranzakció-azonosítót. A PI fizetési utasításokat a vásárló a saját 
bankjának szánja, ezért P/ tartalmát el kívánja rejteni a kereskedő elől. 
Ugyanakkor megbízhatóan csatolni szeretné PI-t az OI rendelési infor- 
mációkhoz, hogy később ellenőrizni lehessen, hogy az valóban az adott 
vásárláshoz tartozó fizetési utasításokat tartalmazta. A vásárló a kettős 
aláírás technikát használja, és a következő üzenetet küldi a kereskedőnek: 


dsig uo (OL, PI) I [dsig pgiw (PI, OD [tevo Cert(K59), 


ahol Cert(K("9)) a vásárló aláírás-ellenőrző kulcsának tanúsítványa. Mint 
látható, a vásárló a digitális boríték technikát alkalmazza a (kettős aláírás- 
sal ellátott) fizetési utasítások rejtésére. A banki interfész K, ts kulcsának 
hitelességét a 2. lépésben kapott Cer(KÍz)) tanúsítvány alapján tudja el- 
lenőrizni a vásárló. 

A kereskedő a megkapott tanúsítvány alapján ellenőrzi a vásárló KE 18) 
publikus kulcsát. Ennek a kulcsnak a segítségével le tudja ellenőrizni a 
dsig ein (OI. , PI) üzenetrészben található aláírást. Mivel ez az üzenetrész 
nyíltan tartalmazza O/-t, ezért a kereskedő látja, hogy milyen rendelést 
kell teljesítenie. A PI fizetési utasítások azonban rejtve maradnak a keres- 
kedő elől, hiszen a dsig KE (OI, PI) üzenetrész csak PI lenyomatát tartal- 
mazza, a dsig KET (PI, OT) üzenetrész pedig rejtjelezve van. 


5. Engedélyezés-kérés (Authorization Reguest) 
Miután a kereskedő nem fér hozzá a vásárló által szolgáltatott fizetési 
utasításokhoz, ezért a bankot kell megkérnie, hogy ellenőrizze a vásárló 
fizetőképességét. Ennek megfelelően a kereskedő generál egy AuthReg 


! Vegyük észre, hogy más kulcsok (és tanúsítványok) szolgálják az aláírás, és mások a 
rejtjetezés (kulcscsere) funkciókat. 
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engedélyezés-kérés üzenetet, amit digitálisan aláír és a banki interfész 
nyilvános kulcsával védett digitális borítékba helyez, majd a következő 
üzenetet küldi a banki interfésznek: 


[dsig ps (PI, OD] tere 1 ISi8 trio (AnthReg) tres 1 
Cert(Kfr9) ! Cer(KÍP9) I Cert(KE""9)), 


ahol tehát az üzenet tartalmazza a vásárlótól kapott rejtjelezett fizetési 
utasításokat és a kereskedő, illetve a vásárló tanúsítványait. 
A banki interfész kibontja a digitális borítékokat és ellenőrzi a digitális 
aláírásokat. A banki interfész azt is ellenőrzi, hogy a kereskedő által az 
AuthReg üzenetben használt tranzakció-azonosító megegyezik-e a vásárló 
által a P!/ fizetési utasításokban használt azonosítóval. Ha az ellenőrzés si- 
keres, akkor a banki interfész elfogadja a kereskedő engedélyezés-kérését. 
6. Engedélyezés 
A banki interfész kapcsolatba lép a vásárló bankjával, és elküldi neki 
PI-t. A bank ellenőrzi, hogy a vásárló fizetési utasításai teljesíthetőek-e. 
Amennyiben igen, a bank jelzi a banki interfésznek, hogy engedélyezi a 
tranzakciót. Ezek a lépések nem tartoznak szervesen a SET protokollba. A 
banki interfész és a bank nem az interneten keresztül kommunikál, hanem 
a pénzintézetek privát hálózatán. 
7. Engedélyezés-kérésre adott válasz (Authorization Response) 
Ha a bank kedvező választ ad, akkor a banki interfész generál egy AuthRes 
választ a kereskedő engedélyezés-kérésére, azt digitálisan aláírja, és a ke- 
reskedő nyilvános kulcsával védett digitális borítékba helyezi. A banki 
interfész a következő üzenetet küldi a kereskedőnek: 


(sig Ki) (AuthRes))] íz 1 [sig Kés) (CapToken)] kí? I Cert(Kíi)). 


Az üzenet opcionálisan tartalmazhat egy CapToken lehívási zsetont, amit 
a banki interfész generál, és amit a kereskedő a későbbiekben felhasznál- 
hat a fizetési tranzakció tényleges megindítására, azaz a vásárló pénzének 
lehívására és a kereskedő bankjába történő átutalására. A lehívási zsetont 
a banki interfész aláírja és saját nyilvános kulcsával védett digitális bo- 
rítékba helyezi. Ez tehát azt jelenti, hogy a kereskedő nem férhet hozzá 
a nyílt lehívási zsetonhoz. A banki interfész lényegében magának küldi 
a lehívási zsetont egy, a kereskedő által megtestesített késleltő csatornán 
keresztül. 
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8. Vásárlási kérelemre adott válasz (Purchase Response) 
Miután a kereskedő megkapta az engedélyezés-kérésre a kedvező választ, 
egy nyugtázó üzenetet küld a vásárlónak, mely tartalmazza a kereskedő 
aláírását. A vásárló ellenőrzi a nyugta aláírását és eltárolja azt. Ezek után 
a kereskedő teljesíti a tranzakció során vállalt kötelezettségét, azaz elküldi 
a megrendelt árut, vagy biztosítja a megrendelt szolgáltatást a vásárlónak. 

9. Lehívás kérelem (Capture Reguest) 
A kereskedő később szeretné a tranzakciót befejezni, és az áruért vagy 
szolgáltatásért járó összeget a vásárló bankszámlájáról a saját bankszám- 
lájára utaltatni. Ehhez generál egy CapReg lehívási kérelmet, ami tartal- 
mazza a tranzakció adatait, többek között a tranzakció azonosítóját és a 
fizetendő összeget. A lehívási kérelmet a kereskedő aláírja, és a banki in- 
terfész nyilvános kulcsával védett digitális borítékba helyezi. Ezt aztán a 
korábban kapott lehívási zsetonnal együtt elküldi a banki interfésznek: 


[sig Klri9) (CapReg)] ke 1 [sig Kíti9) (CapToken)] Kend) 


A banki interfész kibontja a digitális borítékokat és ellenőrzi a digitális 
aláírásokat. Azt is ellenőrzi, hogy a lehívás kérelem és a lehívási zseton 
összetartoznak-e. Ha az ellenőrzések sikeresek, akkor a banki interfész 
kezdeményezi az összeg átutalását a vásárló bankjánál. Mindez azonban 
már a pénzintézetek privát hálózatán keresztül történik. 
10. Lehívás kérelemre adott válasz (Capture Response) 

A banki interfész egy CapRes nyugtát generál a kereskedő lehívási kérel- 
mére, amit aláír, a kereskedő nyilvános kulcsával védett digitális borítékba 
helyez, majd elküld a kereskedőnek: 


lsig grain (CapRes))] ín 
A kereskedő kibontja a borítékot és ellenőrzi az aláírást. A kereskedő eltá- 


rolja a kapott CapRes választ az átutalás megtörténtének ellenőrzése cél- 
jából. 
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12.3. Digitális készpénz: DigiCash 

A DigiCash egy on-line, anonim fizetési rendszer, mely ahagyományos (fizi- 
kai) készpénz modellje szerint működik. A digitális (elektronikus) készpénz 
(e-cash) egy bináris sorozat (egy szám), amely készpénznek felel meg, s en- 
nek egyik számítógépről a másikra történő küldésével megtörténik a fizetés. 
Az elektronikus készpénz is anonim és újrafelhasználható, mint a szokásos 
bankjegy vagy pénzérme. Ezen tulajdonságai megkülönböztetik a hitelkár- 
tyás tranzakciótól, ahol a tranzakcióban részt vevő vásárló (aláírásával) hite- 
lesíti magát. 





12.2. ábra. A DigiCash rendszer résztvevői és a DigiCash tranzakció lépései 


Protokoll. A DigiCash rendszer résztvevői és a DigiCash tranzakció lépései 
a 12.2. ábrán láthatók. A résztvevők a V vásárló, a K kereskedő, valamint a 
B on-line bank. Feltesszük, hogy a vásárlónak számlája van a bankban, ame- 
lyen valamely összeg áll rendelkezésre. Ezen feltétel megvalósulása az aláb- 
biakban részletezendő tranzakciós protokolltól független. A számlanyitáskor 
a vásárló választ egy (V., Vg) RSA kulcspárt, ahol V, a nyilvános kulcs és Vg 
a titkos kulcs. A vásárló egy véletlen sorozatszámot is választ, amely véletlen 
érték az elektronikus készpénz (e-cash) sorozatszáma generátorának a vélet- 
len magja lesz. Feltesszük továbbá, hogy a bank rendelkezik (B, B) RSA 
kulcspárok egy sorozatával, ahol az egyes párok különböző pénzcímletekhez 
tartoznak (pl. i € (1,2, 5, 10, 20, 50, 100, . . . )). 

A vásárló jelzi a bank felé pénzkivételi szándékát, amit aláírásával hitele- 
sít. Az aláírást ellenőrzi a bank. Sikeres ellenőrzést követően a vásárló kezde- 
ményezi megfelelő mennyiségű elektronikus pénz , gyártását". A pénz előál- 
lítása a fenti protokoll 1. és 2. lépése. A fenti protokoll 3-5. lépései a vásárlás 
során a kereskedő felé történő fizetéshez és a pénz ellenőrzéséhez tartoznak. 
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DigiCash protokoll 





(1) V-B: c,m-—s-r modn 
(2) BOV: 2-nmé modn 

(6) V-K: P-—(c,s, s! modn) 
(4) KGB: P-—(c, s, s! modn) 
(5) B-—KK: P hamis/P hiteles 





1. A vásárló generálja a következő véletlen sorozatszámot (a véletlen mag 
felhasználásával), amely rendelkezik azon strukturáltsággal, hogy a bal- 
oldali fele egyértelmű determinisztikus kapcsolatban van a jobboldali fe- 
lével. Legyen ez a pillanatnyi sorozatszám s. Ha a vásárló ezen s sorozat- 
számmal szeretne generálni mondjuk 100 Ft címletű elektronikus pénzt, 
akkor kiválasztja az ezen címletnek megfelelő e — 89 nyilvános kulcsot 
a bank kulcsai közül, és választ egy csak általa ismert, titkos r véletlen 
számot, majd elküldi az (1) üzenetet a banknak. 


2. A bank az (1) üzenetben kapott m üzenetrészt aláírja az adott címletnek 
megfelelő d titkos kulcsával, s az eredményt a (2) üzenetben visszaküldi 
a vásárlónak. A vásárló a z — (s-r")1 — 57 - r(modn) és r mennyiségek 
ismeretében egy osztással előállítja a w — z/r — s1 mod n mennyiséget? . 
A P — (c, s, §7) hármas az elektronikus , bankjegy". Ennek megfelelően 
leolvasható a címlete, az — egyedi — sorozatszáma, valamint hordozza a 
bank digitális aláírását. 

3. A fizetés során a vásárló elküldi a megfelelő címletű elektronikus pénzek 
egy sorozatát a kereskedőnek? . Az egyszerűség kedvéért tegyük fel, hogy 
a vásárló a (3) üzenetet küldi, mely csak egyetlen bankjegyet tartalmaz. 

4. A kereskedő a pénzt tárolhatja. Célszerűbb azonban, ha azt a (4) üzenet- 
ben elküldi a banknak, egyrészt ellenőrzésre, másrészt — hitelesség esetén 
— a bank a pénzt jóváírja a kereskedő számláján. 
A bank két lépésben ellenőriz: 


2 zt az aláírás-technikát , vak" aláírásnak nevezik, ugyanis a vásárló úgy szerzi meg a bank 
aláírását az s sorozatszámon, hogy a bank nem látja s valódi értékét. Ezt az r vakító paraméter 
használata teszi lehetővé, melyet csak a vásárló tud eltávolítani a vakon aláírt sorozatszámról. 

3 Természetesen ez a lépés tartalmazza előzetesen azt a részlépést is, hogy a vásárló ki- 
választ egy terméket (mondjuk egerével rákattintva egy ,Buy one now!" feliratú gombra a 
kereskedő valamely weblapján), s kitölt egy űrlapot, amelyen megjelölődik a termék, annak 
mennyisége, ára, a vásárlás dátuma, majd V és K aláírásával hitelesíti ezen megrendelőt. 
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(a) A bank ellenőrzi, hogy az s sorszám nem szerepelt-e már egy ko- 
rábbi ellenőrzésnél, azaz nincs-e szó pénzduplikálásról!. Ha dupli- 
kálást észlel, azaz a pénzt egyszer már elköltötték, akkor azonnal a 
protokoll 5. lépésére tér át, visszajelezve a kereskedőnek azt, hogy az 
általa ellenőrzésre bemutatott pénz másolat. 

(b) A bank ellenőrzi, hogy az s és 57 összetartozó pár-e, azaz az ő aláírását 
hordozza-e. Ezt a c címlethez tartozó nyilvános kulcsa felhasználásá- 
val végzi. Ha ez az ellenőrzés is rendben van, akkor a bank tárolja az 
s sorozatszámot, és azt ettől kezdve a forgalomból kivontnak tekinti. 


5. A bank végül az (5) üzenetben tájékoztatja a kereskedőt, hogy az általa 
beváltani szándékozott pénz valódi volt-e vagy hamis (utóbbi alatt azt ért- 
jük, hogy a bank fenti ellenőrzései sikertelenek). 


Analízis. Mint azt a protokoll lépéseinek magyarázatánál láttuk, egy másolt 
pénz (akár V, akár K készítené) a banki ellenőrzésen fennakad. Tekintsünk 
tehát ravaszabb hamisítás próbálkozást, azaz banki aláírás hamisítását. Eh- 
hez a hamisítónak olyan u értéket kellene találnia, amelyet a címletnek meg- 
felelő banki e nyilvános kitevőre emelve egy sorszámra jutna. Mivel azonban 
a sorszámoknak rögzített struktúrája van, megfelelő blokkméretek mellett 
gyakorlatilag kizárható ezen támadás sikere. 

Amikor a 2. lépésben B aláírását adja az m üzenetre, akkor az m felépítése 
miatt nem tudja megállapítani a V által éppen választott sororozatszámot, hi- 
szen az ismeretlen r véletlennel való moduláris szorzás elfedi azt. Tehát úgy 
ad aláírást az m üzenet aláírásra megcélzott s részére, hogy nem láthatja an- 
nak valódi értékét. Az ilyen módon történő aláírást vak aláírásnak nevezzük. 
Ezzel lesz a fizetőeszköz teljesen anonim, azaz a bank sem tudhatja, hogy 
egy később ellenőrzésre hozzákerülő elektronikus pénzt ki gyártatta le vele 
és mikor. 

A protokoll lehetővé teszi, hogy a kereskedő ellenőrizze, hogy a 3. lépés- 
ben a vásárlótól kapott pénz adott címletű pénz-e, mivel ő is ismeri a bank 
megfelelő nyilvános kulcsát. Vegyük észre azonban, hogy ő (hacsak nem 
kizárólag nála vásárol az adott vásárló, és emelett a kereskedő is tárolja a 
korábbi sorozatszámokat) nem tudja eldönteni, hogy nem már felhasznált, 
másolt pénzt kapott-e. Pontosan ezért ellenőrizteti ezt a bankkal. 


$ Ne felejtsük el, hogy most a pénz egy bitsorozat, amit másolni standard módon lehet, a 
klasszikus pénztől eltérően. 
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A fenti protokoll ebben a formájában még nem teszi lehetővé egy V és 
K közti letagadásvita feloldását, azaz hogy a kereskedő ne hazudhassa azt, 
hogy a bank nem fogadta el a pénzt hitelesnek, s így a pénz nem került K 
bankszámlájára. Ezt olyan módosítással lehetne megoldani, hogy a V és K 
által is hitelesített (a fentiekben részletezett tartalmú) megrendelő is eljutna a 
bankhoz a pénzzel együtt, s ott tárolódna. Az anonimitás megőrzése érdeké- 
ben az eredeti megrendelő helyett annak egy hash lenyomatát küldhetné el a 
vásárló, a bank azt tárolná, és csak vita esetén kellene az eredeti megrendelőt 
bemutatni. 

Ha K jelezné V-nek, hogy a bankba történő beváltás előtt valahogy elve- 
szett a 3. lépésben V-től megkapott pénz, akkor V-nek jelezni kellene tudnia 
a bank felé egy letiltást az adott pénzre vonatkozóan, például úgy, hogy meg- 
küldi a banknak az eltűnt pénz s sorozatszámát, amit a bank feljegyez. 

Az s-re vonatkozó struktúramegkötést helyettesítheti egy strukturálatlan 
véletlen sorszám nyilvános, egyirányú függvényes leképezése is. 

A fenti protokoll olyan változata is lehetséges, hogy a 3. lépés során csak 
a megrendelő kitöltése, s V és K általi kölcsönös hitelesítése történik meg, 
de V nem küldi át K-nak a pénzt ezen lépésben. Ehelyett a 4. lépésben V a 
B-nek elküld egy (K,H, P)x üzenetet, ahol k vásárló és a bank közötti tit- 
kos szimmetrikus kulcs, H a hitelesített rendelés lenyomata, és P a pénz. A 
bank ennek alapján, a P ellenőrzése után, a kereskedő számlájára ráteszi a 
P elektronikus pénz címletének megfelelő összeget, s értesíti erről a keres- 
kedőt. Ezen protokoll-változatban az elektronikus pénz csak a vásárló és a 
bank között mozog. 

A fentiekben leírt DigiCash protokoll a debit rendszerű, anonim és on-line 
fizetési rendszerek osztályába tartozik. Ugyanakkor V és B megállapodásá- 
tól függően működhet kredit rendszerként is, azaz ha a bank engedi hitel- 
ben legyártatni nála az elektronikus pénzt. A részletezett protokoll szerinti 
rendszer on-line tulajdonsága azt jelenti, hogy amikor fizetésre került a sor, 
a kereskedő a 4. lépésben a bankot is bevonja a tranzakcióba ahhoz, hogy 
megnyugodhasson az elektronikus pénz valódi volta felől. 

A DigiCash egyik hátránya, hogy az elköltött sorszámok tárolása (amelyre 
a duplaköltések elkerülése miatt van szükség) a rendszer hosszabb, folyama- 
tos használata esetén kezelhetetlen méretűvé nőhet. E problémánál egyedüli 
megoldásként több , sorszámraktár" és több digitális pénzt kibocsátó bank 
bevonása képzelhető el. Egy másik hátrány, hogy a fizetések végösszege csak 
a címletértékek lineáris kombinációja lehet, nincs lehetőség visszafizetésre, 
ami miatt a felhasználóknak figyelniük kell a digitális pénztárcájukban ta- 
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lálható érmék összetételére. Végül felhívjuk a figyelmet a teljes anonimitás 
kockázataira a pénzmosás kapcsán. 


12.4.  Mikrofizetési protokollok: PayWord 


A SET és a DigiCash protokollok a valós, fizikai életben már létező fize- 
tési módszereket próbálják meg adaptálni egy virtuális, elektronikus környe- 
Zetre, melyet az új digitális hálózatok (elsősorban az internet) jelentenek. A 
SET a hitelkártyás fizetés, a DigiCash pedig a készpénzzel történő fizetés 
ekvivalens megvalósítása az elektronikus világban. Az új környezet azonban 
nemcsak a hagyományos módszerek újfajta megvalósítását, hanem merőben 
új fizetési módszerek kidolgozását is lehetővé teszi. Ebben a fejezetben egy 
ilyen új fizetési módszert tárgyalunk, amit mikrofizetésnek nevezünk. 

A hálózaton keresztül nyújtott digitális szolgáltatások sokszor feldarabol- 
hatóak. Gondoljunk például egy digitális folyóiratra, ahol egy szám minden 
cikke egy külön fájl; egy webes információs szolgáltatásra, mely HTML ol- 
dalakból épül fel; vagy akár egy zenei fájl letöltésére, ahol a teljes fájl bájtok- 
ból áll, stb. Miért kellene a vásárlónak a teljes szolgáltatást megvásárolnia, 
ha őt annak csak bizonyos részei érdeklik? Például, miért venné meg a vá- 
sárló a digitális folyóirat legfrissebb számát teljes egészében, ha abból csak 
egy cikket szeretne elolvasni? Ha a szolgáltatást fel lehet darabolni, akkor 
az egyes , szolgáltatás-darabkákat" lehet külön is árulni. A kérdés az, hogy 
hogyan fizessen a vásárló egy ilyen szolgáltatás-darabkáért. Használhatná 
a korábban tárgyalt fizetési módok valamelyikét, de azoknak nagy a tranz- 
akciós költségük a megvásárolt szolgáltatás-darabka értékéhez viszonyítva. 
Egy hitelkártya tranzakció ára ma például kb. 100-300 Ft, melyet általában a 
kereskedő áll. Ekkor nyilván nem éri meg a tranzakciós költséggel összemér- 
hető árú szolgáltatás-darabkákat külön árusítani, pedig elképzelhető olyan 
szolgáltatás, ahol amúgy lenne értelme ilyen méretű szolgáltatás-darabkákat 
árusítani (pl. egy telefonbeszélgetésnél van értelme a másodpercekért fizetni 
a percek helyett). A megoldást a mikrofizetési protokollok jelentik, melyek 
kifejezetten sok, kis értékű tranzakció lebonyolítására vannak optimalizálva. 

Számos mikrofizetési protokollt javasoltak, néhányat közülük meg is va- 
lósítottak és alkalmaztak az interneten. Mi most a PayWord protokollt ismer- 
tetjük, mely egy egész mikrofizetési protokoll-család jellegzetes képviselője. 

A PayWord protokollt Rivest és Shamir publikálta 1996-ban. A korábban 
bevezetett osztályozás szerint, a PayWord egy kredit alapú, off-line, azono- 
sított rendszer. Nyilvános kulcsú kriptográfiára épül, de azt igen hatékonyan 
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használja. Egészen pontosan a PayWord akkor hatékony, ha a vásárló egy 
kereskedőnek fizet egymás után sokszor, apró összegeket. Ekkor a tranzak- 
ció elején generált digitális aláírás feldolgozási költségét a protokoll , amor- 
tizálja", azaz ezzel az egy digitális aláírással minden további mikrofizetési 
zsetont hitelesít. 

A protokollnak három részvevője van: az U vásárló, az M kereskedő és a 
B bróker. A bróker a bankot képviseli a protokollban. 


Regisztrációs fázis. Mielőtt U használná a rendszert, regisztráltatnia kell 
magát egy brókerrel. Tegyük fel, hogy U a B brókert választotta. A regisztrá- 
ció során B kibocsát egy Certy tanúsítványt U számára, mely többek között 
a következő elemeket tartalmazza: 


m B azonosítóját, 

u U azonosítóját, 

u U nyilvános aláírás ellenőrző kulcsát, Ky-t, 

u a tanúsítvány érvényességi idejét és 

u B aláírását az előző mezőkön. 

A Certu tanúsítvány lényegében B kijelentése, miszerint vállalja, hogy min- 
den, a tanúsítvány érvényességi idején belül bemutatott, U által kibocsátott, 


azaz a Ky kulccsal hitelesíthető mikrofizetési zsetont a zseton megjelölt ér- 
tékének megfelelően bevált. 


Fizetési fázis. Tegyük fel, hogy U az M kereskedőnek szeretne fizetni apró 
összegeket. Ekkor U generál egy Commit üzenetet, mely többek között a 
következő mezőket tartalmazza: 


u M azonosítóját, 

m a Certy tanúsítványt, 

u a tranzakció során használt mikrofizetési zsetonok v értékét, 

mu a protokoll során átküldött mikrofizetési zsetonok beváltási határidejét, 
u egy wo hash értéket, melynek szerepéről alább szólunk és 

u U aláírását az előző mezőkön. 


A wo hash érték egy egyirányú hash lánc utolsó eleme. Ezt U a követ- 
kezőképpen állítja elő. Először generál egy wa véletlenszámot, majd annak 
kiszámítja hash értékét, majd a kapott érték hash értékét, és így tovább. For- 
málisan w;— h(wiy1), 1— 0, 1,...,1—1, ahol hegy egyirányú hash függvény. 
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nértékét U választja, mégpedig úgy, hogy megbecsüli, mennyi mikrofizetési 
zsetonra lesz szüksége a tranzakció során. U eltárolja az összes kiszámított 
w; értéket, ezek alkotják majd a mikrofizetési zsetonokat. Minden zseton v 
értékű. 

U elküldi a Commit üzenetet M-nek. Ezzel lényegében engedélyezi, hogy 
a B bróker beváltsa a wj, w2, . . . wn zsetonokat M számára a megadott dá- 
tum előtt. Felhívjuk a figyelmet arra, hogy a Commit üzenet tartalmazza M 
azonosítóját. Ez azt jelenti, hogy a w; zsetonok csak M számára értékesek, 
hiszen más úgysem válthatja be őket. Ezért a zsetonok átküldésekor nem kell 
különösebb gondot fordítani azok rejtésére. 

M ellenőrzi a Commit üzenetet. Ez lényegében abból áll, hogy M ellen- 
őrzi, hogy a zsetonok v értéke megfelel-e az M által nyújtott szolgáltatás- 
darabkák értékének, és hogy a beváltási határidő elegendően messze van-e. 
Továbbá, M ellenőrzi a Certy tanúsítványt és az abban található Ky kulcs 
segítségével U aláírását a Commit üzeneten. 

A protokoll során átküldött i-edik zseton nem más, mint az (i, w;) pár. Mi- 
kor M megkapja wj-t, akkor ellenőrzi, hogy annak hash értéke megegyezik-e 
az előzőleg kapott zseton értékével, ha i 5 1, vagy a Commit üzenetben ta- 
lálható wo értékkel, ha i — 1. Ha az ellenőrzés sikeres, akkor M elfogadja a 
zsetont. M mindig csak az utoljára kapott zsetont tárolja el, ez elegendő lesz 
az összes többi beváltásához is. 

A h hash függvény egyirányúsága miatt, w;-ből nem lehet előállítani w;.4.1- 
et, azaz bárki megfigyelheti az i-edik zsetont, az (i-t 1)-edik zsetont nem 
tudja előállítani, csak U. 


Beváltási fázis. A Commit üzenet beváltási határideje előtt M elküldi B- 
nek az utolsónak kapott (£, w,) zsetont és a Commit üzenetet. B ellenőrzi a 
Commit üzenetet, majd ellenőrzi, hogy az abban található wo értékre fennáll- 
e a w, — h( (we) összefüggés. Ha az ellenőrzés sikeres, akkor U számláját 
megterheli £ - v forinttal, M számláján pedig jóváír ugyanennyit. 


Hatékonyság. A PayWord igen takarékosan bánik a digitális aláírással. U 
egyetlen aláírással az összes w; zsetont hitelesíti. Az alkalmazott egyirá- 
nyú hash lánctechnika hasonlít a partner-hitelesítő protokolloknál tárgyalt 
S/KEY egyszer használatos jelszó rendszerhez (9.1.3. szakasz). 

U-nak a zsetonok előállításához n-szer meg kell hívnia a h hash függ- 
vényt. Ez n értékétől függően sok számítást vehet igénybe, ezt azonban U 
még az M-mel való kommunikáció megkezdése előtt, előre elvégezheti. U- 
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nak tárolnia kell továbbá az összes zsetont. Megjegyezzük, hogy különböző 
idő-memória kompromisszumokkal el lehet érni, hogy U-nak ne kelljen min- 
den zsetont tárolni, ekkor azonban a hiányzó zsetonok előállítása időt vesz 
igénybe. 

M-nek egyetlen digitális aláírást kell ellenőriznie tranzakciónként, és min- 
den zseton ellenőrzésekor egyszer meg kell hívnia a h hash függvényt. Tárol- 
nia csak a Commit üzenetet, valamint az utolsó zsetont és annak indexét kell. 

B-nek egy digitális aláírást kell ellenőriznie, valamint £-szer meg kell hív- 
nia a h hash függvényt, ám ezeket off-line módon teheti meg. 


ÍV. 


Fejezetek a bizonyítható 
biztonság elméletéből 


13. 


Alapfogalmak 


Shannon óta egy kriptográfiai algoritmusnak egy támadó korlátlan számítási 
erőforrásával szemben mutatott védettségét röviden információ-elméleti biz- 
tonságnak, vagy feltétel nélküli biztonságnak, míg a korlátos erőforrású ese- 
tet algoritmikus biztonságnak, vagy feltételes biztonságnak nevezzük. Rejt- 
jelező algoritmusok közül egyetlen algoritmust ismerünk csak, amely felté- 
tel nélkül biztonságos: a One-Time-Pad (OTP) rejtjelezőt. Tudjuk azonban, 
hogy az OTP is egy adott támadó modell mellett mutatja csak ezt a tulajdon- 
ságot, nevezetesen amikor a támadó csak lehallgatást végezhet, s így csak 
rejtett szövegekhez juthat hozzá. A továbbiakban, bizonyítható biztonság 
kapcsán, feltételes biztonságú algoritmusokat keresünk. 

Hogyan lehetünk biztosak abban, hogy kriptográfiai algoritmusunk biz- 
tonságos? A tradícionális (nem bizonyított biztonságú) megközelítésben úgy, 
hogy megkísérlünk egy támadást találni. Ha sikerrel járunk, akkor azt mond- 
juk, hogy nem biztonságos az algoritmusunk. Ha nem találunk támadást, 
akkor semmi megbízhatót nem tudunk mondani az algoritmus biztonságá- 
ról. Ha kiderül, hogy nem biztonságos az algoritmusunk, akkor a támadás 
erejétől, jellegétől függően vagy véglegesen elvetjük a konstrukciót, vagy 
megpróbáljuk megerősíteni a támadás jellegének megfelelően (azaz folto- 
zunk). 

Ezzel szemben a bizonyított biztonság megközelítésben először definiá- 
lunk egy biztonságfogalmat, azaz megmondjuk, mit értünk pontosan a biz- 
tonságon (defi níció). Ne feledjük, hogy alapveően azért van szükség biz- 
tonsági algoritmusokra, mert támadható az a környezet, amelyben azok fel- 
használásra kerülnek. Más szóval, ha nem lenne feltételezett támadó, nem 
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lenne szükség kriptográfiára sem. A biztonság fogalmai pontosan erre a kö- 
rülményre vonatkoznak, s a különböző fogalmak különböző támadási kör- 
nyezetek modellezését jelentik. 

Kriptográfiai algoritmusunkat egy biztonságosnak feltételezett elemre, 
például egy nehéznek hitt feladatra építjük (feltételezés). Az algoritmusunk 
biztonságosságát ezek után indirekt módon bizonyítjuk: Feltesszük, hogy 
egy Z támadó sikerrel fel tudja törni (az alkalmazott biztonságfogalomnak 
megfelelő értelemben) a kriptográfiai algoritmusunkat. Ezután megmutatjuk, 
hogy Z támadási algoritmusát felhasználva egy Z" támadó sikerrel fel tudja 
törni a biztonságosnak hitt elemet (pl. a nehéznek hitt feladatra hatékony 
megoldó algoritmust mutat fel). Ezzel ellentmondásba kerülünk eredeti felté- 
telezésünkkel. A szó igazi értelmében tehát nem bebizonyítjuk a biztonságot, 
hanem visszavezetést végzünk a feltételezésre (redukció). Azaz megmutat- 
juk, hogy ha egy Z támadó fel tudná törni a kriptográfiai algoritmusunkat, 
akkor létezne egy Z" támadó, amely fel tudná törni a feltételt. 

A támadó erőforrását tipikusan f futási időkorláttal és orákulumokhoz 
küldhető legfeljebb g kéréssel modellezzük. Például a választott nyílt szö- 
vegű támadás modellje a rejtjelező orákulum, mely lehetővé teszi, hogy ál- 
talunk választott nyílt szövegekhez azonnal megkapjuk a rejtjeles szöveget. 
A támadás sikerét egy € sikervalószínűséggel jellemezzük. Azt mondjuk, 
hogy Z támadó (t, g, €)-töri a kriptográfiai algoritmusunkat, ha sikervalószí- 
nűsége legalább E. Redukciós bizonyításunk eredményeképp megmutatjuk, 
hogy Z" (1, d, €")-töri a feltételt. Végső soron ezen levezetést — konkrétan 
a (t,g,€) hármasból a (t",G,€") hármasba való , átszámítást" — ellentétes 
irányban használhatjuk: Tegyük fel, hogy a feltételt tekintve megalapozott 
sejtésünk van (f" , a, €")-törésben at", a g/ és az €" értékére (nagyságrendjére), 
ugyanis a feltétel ismert, sokat vizsgált nehéz feladat. Így a (t", g/ , e") hármas- 
ból kiindulva megállapítjuk a kriptográfiai algoritmusunk (t, g, €) hármasát, 
mint annak támadással szembeni minősítését. 

A bizonyítható biztonság modern elméletének klasszikus korszaka az 
1980-as évekre tehető. Ezen elmélet kiindulópontja az egyirányú függvény, 
s az annak létezésével kapcsolatos sejtés. Egyirányú függvényeken alapszik 
a bizonyíthatóan biztonságos álvéletlen-generátor. Ezen álvéletlen-generátor 
felhasználásával került definiálásra az álvéletlen függvény, majd arra építve 
az álvéletlen permutáció. Ugyanezen sorrendben épülnek egymásra a kap- 
csolódó konstrukciók is. Mindezen elemek a szimmetrikus kulcsú rejtjelezés 
komplexitás-elméleti megalapozását adják. Az egyirányú függvények speci- 
ális osztálya a csapda egyirányú permutáció, illetve létezésének sejtése ala- 
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pozta meg az aszimmetrikus kulcsú biztonságos rejtjelezők első bizonyított 
biztonságú konstrukcióit. 

Az álvéletlen függvények fogalmát Goldreich, Goldwasser és Micali, az 
álvéletlen permutációk fogalmát Luby és Rackoff vezette be. Ezen elmé- 
let komplexitáselméleti aszimptotikus megközelítést alkalmaz, amelynél az 
álvéletlen primitívek (álvéletlen-generátor, -függvény, -permutáció) végte- 
len sorozata kapcsán alapvetően azt vizsgáljuk, hogy egy polinom erőforrás- 
korlátú támadó képes-e megkülönböztetni azokat véletlen megfelelőiktől. A 
sorozatbeli index egy természetes módon adódó biztonsági paraméter érté- 
kének felel meg. 

Ezen elmélet keretében született konstrukció — a már említett — bizonyított 
biztonságú szimmetrikus és aszimmetrikus kulcsú rejtjelezők mellett hash 
függvényekre, valamint egyes kriptográfiai protokollokra (pl. digitális alá- 
írás) is. Ezek a konstrukciók azonban elsősorban elméleti jelentőségűek ma- 
radtak, ugyanis nagy számítási erőforrásigényük miatt kevésbé praktikusak. 
Ugyanakkor ezen klasszikus szakasz konstrukcióinak fontosságát elsősor- 
ban azok létezése adja, azaz a pozitív válasz arra a kérdésre, hogy lehet-e, s 
hogyan lehet bizonyítani algoritmikus biztonságot. 

Az 1990-es évektől kezdődően egyre nőtt az igény arra, hogy gyakorlati 
alkalmazáshoz közelítő számításigényű, ugyanakkor bizonyított biztonságú 
kriptográfiai primitívek és protokollok szülessenek. A modern kriptográfia 
ezen új szakaszát Bellare és Rogaway korszaknyitó munkáiban , konkrét biz- 
tonság" (concrete security) megközelítésnek nevezte. A , konkrét" értelmét 
a nem aszimptotikus, hanem rögzített támadási erőforrás melletti vizsgálati 
módszer adja. Bár ez az irányzat is bonyolultság-elméleti technikákat alkal- 
maz, alapvető célja az, hogy minél élesebb redukcióval a gyakorlat számára 
hasznosabbá tegye a bizonyítható biztonság technikát. 


13.1.  Bonyolultságosztályok, orákulum, redukció 


Az alábbiakban röviden összefoglaljuk az algoritmusok komplexitás-elméle- 
tének néhány fogalmát, amelyeket a továbbiakban használni fogunk. Megje- 
gyezzük, hogy ezen áttekintés emlékeztető; az elmélettel való ismerkedésre 
számos kiváló könyv áll rendelkezésre. 

Egy algoritmus explicit lépésekre lebontott eljárás valamely számítás el- 
végzésére. Alapvetően az algoritmus egy bemeneti adatot (röviden bemene- 
tet) dolgoz fel, s a számítások eredménye egy kimeneti adat (röviden kime- 
net). A bemenet mérete szokásosan a bemenet bináris alakjának hossza. 
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13.1. Definíció (polinom idejű algoritmus). Egy algoritmust polinom idejű 
algoritmusnak hívunk, ha létezik egy c pozitív egész szám, hogy a legfeljebb 
n bites egészekkel végzett bitműveletek száma O(n"). 


(Emlékeztetünk a , nagy ordo" fogalmára: Legyen f(n) és g(n) két, a ter- 
mészetes számokon értelmezett, pozitív értékeket felvevő függvény. Ha lé- 
tezik egy olyan c konstans, hogy minden elegendően nagy n értékre f(n) c 
c: g(n), azt mondjuk ,,f nagy ordo g7; jelölve: f — 0(g).) 

13.2. Definíció (exponenciális idejű algoritmus). Egy algoritmust exponen- 
ciális idejű algoritmusnak hívunk, ha létezik egy c konstans, hogy a legfeljebb 
n bites egészekkel végzett bitműveletek száma 0(e""). 


Egy , probléma" egy feladat általános leírása, míg egy , eset" annak konk- 
rét értékekre vonatkozó változata. Megkülönböztetjük a keresési problémát 
és a döntési problémát. A döntési problémák esetén a feladat egy eldöntendő 
kérdésként fogalmazódik meg, s a válasz kétértékű: , igen" vagy , nem". A 
keresési problémák esetén a megoldást kettőnél nagyobb méretű halmazban 
keressük. 


13.1. Példa. Egész szám faktorizációs keresési probléma: A feladat egy N 

egész szám egy M nemtriviális osztójának megkeresése, illetve annak meg- 

állapítása, hogy ilyen osztó nem létezik, azaz N prímszám. Ha egy konkrét N 

egész szám faktorizálása a feladat, akkor az egész szám faktorizációs prob- 

léma egy esetéről beszélünk. A problémát megoldó algoritmus bemenete és 

kimenete az alábbi: 

Bemenet: N páratlan pozitív egész szám. 

Kimenet: N-nek egy M nemtriviális osztója, vagy az , N prímszám" üzenet. 
Az egész szám faktorizációs döntési probléma egy esete kapcsán az eldön- 

tendő kérdés a következő: Van-e az N egész számnak egy M osztója a [2, j) 

intervallumban, ahol N és j pozitív egész számok? A problémát eldöntő al- 

goritmus bemenete és kimenete az alábbi: 

Bemenet: N és j pozitív egész számok. 

Kimenet: , igen" vagy , nem". 4 


Sok probléma keresési illetve döntési változata lényegében ekvivalens 
abban az értelemben, hogy ha ismerünk egy algoritmust az egyik változat 
megoldására, akkor abból kaphatunk algoritmust a másik változat megoldá- 
sára is. 

A számítástudomány három alapvető bonyolultságosztálya a P, az NP, il- 
letve az NP-teljes döntési problémák osztálya. 
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13.3. Definíció (P bonyolultságosztály). Egy döntési probléma a P bonyo- 
lultságosztályba esik, ha létezik egy algoritmus és egy p(n) polinom, hogy a 
probléma tetszőleges esetét tekintve, ha annak bináris hossza (bemenet) nem 
nagyobb n-nél, akkor az algoritmus válaszideje nem nagyobb p(n)-nél. Más 
megfogalmazásban: egy döntési probléma a P bonyolultságosztályba esik, 
ha létezik egy algoritmus és egy c konstans, hogy amennyiben a bemenet 
mérete nem nagyobb n-nél, akkor a válaszidő O(n"). 


Röviden úgy is fogalmazhatunk, hogy egy döntési probléma P-beli, ha 

van rá polinom idejű megoldó algoritmus. 
13.4. Definíció (NP bonyolultságosztály). Egy döntési probléma az NP bo- 
nyolultságosztályba esik, ha korlátlan számítási kapacitás mellett nemcsak 
a válasz adható meg a probléma tetszőleges esetére, de , igen" válasz ese- 
tén még egy tanú (egy véges bináris sorozat) is felmutatható, amely tanú egy 
polinom idejű ellenőrző algoritmus bemeneteként igazolni tudja a válasz he- 
lyességét. 

A PC NP tartalmazás nyilván fennáll: ugyanis egy P-beli döntési prob- 
léma eldöntő algoritmusát egyben polinom idejű ellenőrző algoritmusként 
is használhatjuk a tanút figyelmen kívül hagyva. Ha a 13.4. definícióbeli 
,igen"-t , nem"-re cseréljük, akkor a co-NP bonyolultságosztály definíció- 
ját kapjuk. 


13.2. Példa. Tekintsük az egész szám faktorizációs problém a 13.1. példa- 
beli döntési probléma változatát. Ez valószínűleg nem P-beli, de biztosan 
NP-beli. Ugyanis egy M valódi osztót, ha létezik, mindig meg tudunk ta- 
lálni, végigvizsgálva a [2,N 1/2] intervallum egészeit. S ha létezik ilyen osztó, 
akkor az a tanú. b 


A bizonyított biztonság bizonyítástechnikái közül a legfontosabb az al- 

goritmikus visszavezetés (redukció) módszere. A módszer lényege a kö- 
vetkező: Van egy algoritmusunk B probléma megoldására, s ezt az algo- 
ritmust szeretnénk felhasználni egy C probléma megoldására egy polinom 
idejű visszavezető algoritmus felhasználásával. Először tekintsük a döntési 
problémák visszavezetését (13.1. ábra). 
13.5. Definíció (redukció). Legyen B és C két döntési probléma. C problé- 
mát polinom időben redukáljuk B problémára, ha megadható egy d algorit- 
mus, amely polinom idejű C bemenetében, s a C probléma egy c esetéhez 
előállítja a B probléma egy b esetét olyan módon, hogy a b kérdésre adott 
válasz megegyezik a c kérdésre adott válasszal. 
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13.1. ábra. Döntési probléma visszavezetése 


Így, ha B probléma eldöntésére találunk polinom idejű algoritmust, akkor 
az arra — polinom időben — visszavezetett C döntési problémára is van poli- 
nom idejű algoritmusunk. A visszavezetés egy másik, fordított felhasználási 
módja a következő: Ha tudjuk, hogy egy C döntési problémára nem létezik 
polinom idejű eldöntő algoritmus, akkor nem létezik a B döntési problémára 
sem, ugyanis ha létezne, akkor a polinom idejű visszavezetés miatt C problé- 
mára is léteznie kellene. A bizonyított biztonság levezetések alapvetően erre 
az indirekt következtetésre alapulnak. 

Gyakran fogunk támaszkodni az orákulum fogalmára: 


13.6. Definíció (orákulum). Amikor azt mondjuk, hogy egy C probléma meg- 
oldó algoritmusa B orákulumot hívja, akkor ezen azt értjük, hogy van egy d 
algoritmusunk, amely előállítja B probléma egy esetét, amelyre mint beme- 
netre (orákulum-kérésre) a B orákulum azonnal előállítja a kimenetét (az 
orákulum-választ), amelyet d algoritmus továbbít C megoldó algoritmusá- 
nak. Az , azonnal" azt jelenti, hogy az orákulum futási ideje nem számít bele 
C megoldó algoritmusának futási idejébe. 


A továbbiakban C? jelölést használjuk akkor, ha egy C algoritmus B orá- 
kulumot használ (orákulumos algoritmus). 
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Az orákulum , természetes" módon fog előállni a bizonyításaink során. 
Így például a választott nyílt szöveg alapú támadást egy rejtjelező algorit- 
mus ellen úgy modellezzük, hogy megengedjük, hogy a támadó algoritmus 
hozzáférjen egy rejtjelező orákulumhoz. Hasonlóan a dekódoló orákulum- 
hoz való hozzáférés a választott rejtett szövegű támadás modellje. 

Orákulum modellben általánosítható a redukció definíciója általános (ke- 
resési vagy döntési) problémára, megengedve, hogy C probléma megoldó 
algoritmusa a probléma egy esetének megoldása során B probléma több ese- 
tének megoldásához hozzáférhessen: 


13.7. Definíció (redukció). Legyen B és C két probléma (döntési vagy kere- 
sési). C problémát polinom időben redukáljuk B problémára, ha létezik C 
problémára egy olyan C bemenetében polinom idejű megoldó algoritmus, 
amely C bemenetében legfeljebb polinom sokszor hívja B orákulumot. 


13.3. Példa. Az egész szám faktorizációs döntési problémát polinom idő- 
ben redukálhatjuk az egész szám faktorizációs keresési problémára, ahol az 
utóbbit orákulumként használjuk. 4 


A bonyolultságosztályok között fontos szerepet játszik az NP-teljes prob- 
lémák osztálya: 


13.8. Definíció (NP-teljes). Egy döntési probléma NP-teljes, ha minden NP- 
beli probléma visszavezethető rá polinom időben. 


Azaz, ha lenne egy polinom idejű megoldó algoritmusunk egy NP-teljes 
problémára, akkor lenne minden NP-beli problémára. Ebből következik az, 
hogy vagy minden NP-teljes probléma P-beli, vagy egyik sem az. A számí- 
tástudomány kapcsolatos alapvető sejtése, hogy P valódi részhalmaza NP- 
nek, amely szerint létezik olyan NP-beli probléma, amelynek nincsen poli- 
nom idejű megoldó algoritmusa. A 13.2. ábra szemlélteti a P, az NP és az 
NP-teljes bonyolultságosztályok sejtett viszonyát. 

A P 4 NP sejtés — mint azt látni fogjuk — alapvető a bizonyított biztonság 
elmélete szempontjából is: 

13.9. Definíció (P £ NP sejtés). A P £ NP sejtés szerint létezik olyan NP- 
beli probléma, amelyhez nem létezik P-beli megoldó algoritmus. 


A kriptográfiában és speciálisan a bizonyított biztonság elméletében is 
igen fontosak a véletlen biteket is használó (továbbiakban röviden randomi- 
zált) algoritmusok. 
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kés NP teljes 


13.2. ábra. A P, NP és NP teljes osztályok sejtett viszonya 


13.10. Definíció (randomizált polinom idejű algoritmus). 
Randomizált polinom idejű algoritmusnak hívunk egy véletlen biteket hasz- 
náló polinom idejű algoritmust. 

Egy randomizált polinom idejű algoritmus nyilván legfeljebb polinomiá- 
lisan sok véletlen bitet használhat. A polinom idejű algoritmusokat (rando- 
mizált vagy determinisztikus) a továbbiakban, röviden, hatékony algoritmus- 
nak hívjuk. Hasonlóan, nehéz problémán azt értjük, hogy megoldására nem 
ismert hatékony algoritmus. 


13.11. Definíció (RP-beli (Random Polynomial-time) döntési probléma). 
Egy döntési probléma RP-beli, ha randomizált polinom idejű algoritmussal 
eldönthető, s ahol az ,, igen" válasz esetében a válasz biztosan helyes, míg a 
shem" válasz helyességének valószínűsége nagyobb, mint 2 


Példaként gondoljunk egy randomizált prímtesztelő algoritmusra, amely- 
nek válasza biztos, ha azt mondja, hogy a tesztelt szám összetett, míg prím- 
gyanú esetén annak valószínűsége, hogy a tesztelt szám mégis összetett, leg- 
feljebb 2. 

Az RP osztálynál szélesebb az úgynevezett BPP (Bounded-Probability 
Polinomial-time) osztály, amelynél az , igen" válasz esetén is megengedett 
a tévedés: fi 
13.12. Definíció (BPP-beli döntési probléma). Egy döntési probléma BPP- 
beli, ha véletlen biteket használó polinom idejű algoritmussal eldönthető, és 
létezik ő 5 0 konstans, hogy az , igen" illetve , nem" válasz helyességének 
valószínűsége nagyobb, mint ; Ő. 

Sajnos a továbbiak számára, a fentiekben röviden áttekintett osztályozás 
nem teljesen kielégítő. Fontos ugyanis észrevenni, hogy a fentebb említett 
bonyolultságosztályok a legrosszabb esetet tekintik, abban az értelemben, 
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hogy a megoldó algoritmusnak képesnek kell lennie a bonyolultságosztályba 
eső probléma legnehezebb esetének megoldására is. Így egy olyan kijelen- 
tés, hogy egy probléma megoldására nincs hatékony algoritmus, jelentheti 
csak" azt, hogy például a legnehezebb esetekre nincs, ugyanakkor javarészt 
van. Márpedig kriptográfiai alkalmazásban egy ilyen , garancia" elfogadha- 
tatlan. Másrészt alkalmazásainkban általában is megfelelhetne egy problé- 
mára olyan megoldó algoritmus is, amely a legtöbb esetre ad megoldást. Más 
szavakkal, ha egy esetet az esetek halmazából véletlenszerűen választunk, 
akkor megelégednénk, ha legfeljebb , elhanyagolhatóan kicsi" valószínűségű 
esemény kivételével adna megoldást. A két gondolatot összetéve megállapít- 
hatjuk, hogy kriptográfiai szempontból nem elegendő azt tudnunk, hogy egy 
kiptográfiai törési probléma legnehezebb esetei tényleg nehezek; azt szeret- 
nénk, hogy bármely véletlenszerűen választott eset majdnem mindig nehéz 
legyen. 

Ezen igényeknek megfelelően került Levin által bevezetésre az egyirányú 
függvény. Az egyirányú függvény fogalma, s annak sejtett létezése alapvető 
a kriptográfiai bizonyított biztonság elméletében és konstrukcióiban. 


13.2. Egyirányú függvény (One Way Function — OWF) 


A szokásos megfogalmazás szerint az , egyirányú függvényt könnyű kiérté- 

kelni az ősképtér bármely elemére, ugyanakkor nehéz az inverzet kiszámítani 

a képtér elemeire". Az erősen egyirányú függvény definíciója az alábbi: 

13.13. Definíció (erősen egyirányú függvény). 

Az f : (0,1y" — (0,1)" függvény (erősen) egyirányú, ha a következő két 

feltétel teljesül: 

1. könnyű kiszámítani: létezik olyan hatékony T algoritmus, amely x beme- 
netre az f(x) kimenetet adja, 

2. nehéz invertálni: tetszőleges hatékony T" algoritmus, és tetszőleges p(n) 
polinom, valamint elegendően nagy n esetén 


PITTUJ A W) c fg: (3.1) 

A (13.1) formula szerint egyenletes eloszlással választunk ősképet, majd 

annak képét adjuk bemenetként a 7" invertáló algoritmusnak azzal, hogy ad- 

: . jon meg egy ősképtérbeli elemet, amelynek azonos a képe. Erősen egyirányú 

függvény esetén ezt a feladatot csak elhanyagolhatóan kis valószínűséggel 
képes megoldani bármely, a feltételeknek megfelelő algoritmus. 
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Megjegyzés. A (13.1) kifejezésben a 7" algoritmus bemenetében szereplő 
1", azaz n darab 1 bitből álló sorozat értelmét az adja, hogy ezáltal biz- 
tosítható, hogy 7" algoritmus a bemenete és kimenete együttes hosszában 
polinom időben futhasson. Ha ugyanis ezt elhagynánk, akkor például az 
f(x) — ki függvény, azaz amely bemenete hosszát adja meg bináris ábrá- 
zolásban (pl. f(1001110) — 111), annak okán lehetne egyirányú függvény, 
hogy a 7" invertáló algoritmust futtató gép nem lenne képes még arra sem, 
hogy kiírja a kimenetre az inverzet, hiszen annak a kimeneti hossza a beme- 
net hosszának exponenciális függvénye. 

13.14. Definíció (elhanyagolható függvény). Egy u : NC N függvényt el- 
hanyagolhatónak nevezünk, ha tetszőleges p(n) polinom esetén létezik M 
pozitív egész szám, hogy tetszőleges n 5 M esetén u(n) c 1/p(n). 


Például 2-V és n71982" elhanyagolható függvények n-ben. 


13.2.1. Példák egyirányú függvényekre 


Számos egyirányú függvény jelöltet ismerünk, amelyekre mind ez ideig nem 
ismeretes hatékony invertáló algoritmus a fenti definíciók szerint, s ame- 
lyekről sejtjük az egyirányú tulajdonságot. Példaként három jól ismert jelöl- 
tet említünk meg: az egész szám faktorizációt, a hibajavító véletlen lineáris 
blokk kódok dekódolását, valamint a részletösszeg problémát. 


Egész szám faktorizáció. Tekintsük a következő függvényt: 


f:(014—0101y, fegy-x-y hl b], (13.2) 


ahol x- y a bináris ábrázolású x és y egészek szorzata, bináris alakban meg- 
adva. Azaz két, véletlenszerűen választott n/2 bites egész szorzatát ismerve 
elhanyagolható (tetszőleges p(ri) polinomra aszimptotikusan 1/p(n) -nél ki- 
sebb valószínűségű) azon esetek száma, amikor sikeres a faktorizáció. 


Hibajavító véletlen lineáris blokk kódok dekódolása. Tekintsünk egy C(n,r- 
n,ő -n), 0 c r,ő c 1 bináris lineáris kódot. Az n bites bináris kódszavakat 
(r:n) xn méretű G bináris generátormátrix állítja elő. Jelöljön m egy r-n 
bites üzenetvektort. Egy e hibavektor egy n bites vektor, melynek Hamming- 
súlya kisebb, mint ő - n/2. Továbbá legyen r c 1— h(ő), ahol h(.) a bi- 
náris entrópia függvény. A hibajavító kódok elméletéből ismert, hogy ha 
r €1-—h(ő), akkor egy G véletlen (r-n) x n méretű bináris generátormát- 
rix majdnem minden esetben egy d 2 ő - n minimális Hamming-távolságú 
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kódot generál. Egy ilyen kód képes javítani tetszőleges ő - n/2-nél kisebb 
Hamming-súlyú hibát. Ezen jelölésekkel a kapcsolatos egyirányú függvény: 





f:(01F — (01y, f(G,m,e)— (G,mG-t e). (13.3) 
Öd6 li 











13.3. ábra. A kódszavak terének szemléltetése (tele fekete körök a kódszavakat, tele 
szürke kör egy hibás kódszót jelöl, nagy körök a kódszavak körüli ő : n/2 sugarú 
Hamming-gömböket jelölik) 


A fenti dimenzionális megkötéseknek megfelelően véletlenszerűen vá- 
lasztott G generátormátrix ismeretében, valamint véletlenszerűen választott 
üzenet és hibavektor mellett adódó mG -t- e hibás kódszó ismeretében — az 
egyirányúság fenti definíciója szerinti értelemben — nehéz feladatnak sejtett 
az m üzenet dekódolása. 

A feladat a következőképp is megfogalmazható: ha egy altér adott az n 
bites vektorok lineáris terében a G mátrix sorai mint véletlen bázis által, ak- 
kor ismerve ezen bázist, valamint az altérben valamely, véletlenszerűen vá- 
lasztott c vektor ő -n/2 sugarú környezetén belül véletlenszerűen választott 
vektort, a c vektor meghatározása nehéz feladat (13.3. ábra). 


Részletösszeg probléma. Legyen 
f:(01Y— (OLY, fltx2..sxm1) — (132 sxm DX) (130) 
jel 


ahol ki] — ...— bal -nés IC (1,2,...,n). 

Azaz, ha véletlenszerűen választunk egy / részhalmazt véletlenszerűen 
választott n darab n bites vektor alkotta halmazból, majd a részhalmaz ele- 
meit (koordinátánként egész számként) összegezzük, akkor az összeg alap- 
ján — az egyirányúság fenti definíciója szerinti értelemben — nehéz feladatnak 
sejtett az összetevők azonosítása. 
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Az ún. hátizsák típusú (knapsack) algoritmusok a részletösszeg probléma 
nehézségére épülnek. Mindezidáig azonban ezen problémára épülő biztonsá- 
gos rejtjelező algoritmust nem sikerült találni. Ezzel kapcsolatban részletes 
magyar nyelvű leírás található korábbi könyvünkben (lásd irodalom jegy- 
zék). 


13.3. Csapda egyirányú permutáció 

A csapda egyirányú permutáció egy speciális egyirányú függvény, amely egy 
bitsorozat (a csapda) ismeretében hatékonyan invertálható, ennek hiányában 
azonban egyirányú. Először a függvényegyüttes, valamint a hatékonyan ki- 
számítható függvényegyüttes fogalmát definiáljuk. 


. könnyű 
; Fém 78 


Ste des 


könnyű/csapda információ 


13.4. ábra. Csapda egyirányú permutáció illusztráció 


13.15. Definíció (függvények együttese). Az F, függvények F — (F,)nen in- 
dexelt halmazát függvények együttesének nevezzük. 
13.16. Definíció (hatékonyan kiszámítható függvényegyüttes). Egy függvé- 
nyegyüttes hatékony kiszámíthatósága az alábbi két feltétel teljesülését je- 
lenti: 
1. Hatékonyan indexelhető: létezzen hatékony indexelő I : (0, 1)" — (0,1y, 
továbbá az indexet mint bináris sorozatot függvénybe képező p : (0, 1)" — 
1 : (0,1y" — (0,1)") algoritmus. 
Az I algoritmus az 1" input (valamely biztonsági paraméter értéke) alap- 
ján megcímez egy függvényt. Jelölje I(1") — i ezt a címet, amely alapján 
Pp(i) — fi, fi : (0,1y" — (0,1y" a megcímzett függvény. 
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2. Hatékonyan kiértékelhető: létezzen egy randomizált polinom idejű F" al- 

goritmus, amelyre F"(i,x) — fi(). 
13.4. Példa. Hatékonyan kiszámítható függvényegyüttesre tekintsünk pél- 
daként egy speciális együttest, a diszkrét hatványozást, amely permutáció 
és egyirányú is egyben, s az alkalmazások szempontjából igen fontos. Ezen 
példa után bevezetjük az egyirányú permutáció-együttes speciális esetét, a 
nyilvános kulcsú rejtjelezés és digitális aláírás szempontjából alapvető, csap- 
da egyirányú permutáció-együttest. A diszkrét hatványozás — eddigi ismere- 
teink szerint — nem rendelkezik csapda tulajdonsággal. 

Legyen p egy nagy prímszám (például 500 bit méretű). Tekintsük az 
EXPpg : Zp-1 — Z; függvényt: 

EXP) e(x) — 87 mod p, 

ahol g generátor eleme a Z; ciklikus csoportnak. Ez a leképezés bijektív. 

Az I indexelő algoritmus az 1" biztonsági paraméter inputra véletlen- 
szerűen generál egy 277! £ p c 2" prímet, majd egy g E Z5 generátorele- 
met. Ezen feladatok hatékonyan megoldhatók. A p,g pár kiválasztásával 
az EXP)pg transzformációt is kiválasztottuk. A diszkrét hatványozás haté- 
konyan kiszámítható az ismételt négyzetreemelés és szorzás módszerével. 
Az inverzképzés nehézsége azt jelenti, hogy az 

f(p.8.2) — (p.8,EXPpgt9)) 

leképezést egyirányúnak feltételezzük. 4 

A csapda egyirányú permutáció alábbi definíciójában a könnyebb követ- 


hetőség kedvéért a tipikus használat, a nyilvános kulcsú rejtjelezés jelöléseit 
alkalmazzuk. 


13.17. Definíció (csapda permutáció-együttes). Függvények 


F — (Epk : Xpk — Xpk)pkePk 
együttese csapda permutáció-együttes, ha 
1. Kulcsgenerálás: létezik egy hatékony G algoritmus, amelynek G(n) kime- 
nete (pk,sk), ahol Ipkl — n, Isk] — a(n) valamely g(n) polinomra. 
2. Egyirányú tulajdonság: létezik egy hatékony E" algoritmus, amelyre telje- 
sül, hogy E"(pk,x) — Epr(2) tetszőleges x € Xpk, pk € PK esetén, továbbá 


1 
seat (Em(T(ek Ex) En ezgg 489 
(pk.sk)—G(n) 
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tetszőleges hatékony T algoritmus és p(n) polinom, valamint elegendően 
nagy n esetén. A valószínűséget az alábbi valósínűségi változók eloszlása 
felett képezzük: (pk,sk) nyilvános-titkos kulcspár; amit G(1") kulcsgene- 
ráló algoritmus állít elő, x üzenet, amit az ősképtérből egyenletes elosz- 
lás szerint véletlenül választunk, valamint T hatékony algoritmus véletlen 
elemei, amiket számítása során felhasznál. Továbbá v —, V egy V vé- 
ges halmazból egyenletes eloszlással választott v valószínűségi változót 
jelöl. 


3. Csapda permutáció tulajdonság: létezik egy hatékony D algoritmus, hogy 
D(sk, Epx(x)) — x tetszőleges x € Xpr, pk € PK esetén. 


A továbbiakban az egyszerűség (és a szokásos megnevezés) okán, ahol az 
nem félreérthető, a rövidebb csapda egyirányú permutáció, illetve a csapda 
permutáció megnevezést használjuk. Ismét vegyük észre, hogy az inverz szá- 
mításának nem egy adott kulcspárhoz tartozó permutáció esetén kell , nehéz 
feladatnak" lennie, hanem adott n biztonsági paraméter mellett kapható ösz- 
szes kulcs és összes őskép átlagában. 

A csapda permutáció modell mint a nyilvános kulcsú rejtjelező kódolók 
alapja azonban önmagában több szempontból sem kielégítő. A 13.17. de- 
finíció nem állítja, hogy az invertálás nehéz, ha az x bemenet speciálisan 
választott térből származik (az egyirányú tulajdonságot a teljes ősképtérből 
egyenletesen választott bemenetre mondjuk ki). Szélsőséges, de a mondani- 
valót jól illusztráló példa az, amikor az üzenettér két elemű, azaz 0 vagy 1. 
Nyilván könnyű megkülönböztetni a lehetséges két rejtjeles szöveget, pél- 
dául azáltal, hogy kérjük az egyik üzenetre a rejtjelezettjét egy választott 
szövegű támadásnál. 

Továbbá abból, hogy nehéz invertálni egy csapda egyirányú függvényt 
(vagy általában egy egyirányú függvényt) nem következik, hogy nehéz fel- 
adat részleges információt szerezni az ősképről (pl. megtudni egy bitjét). 

Az is előfordulhat, hogy különböző rejtjelezett üzenetek között relációk 
fedezhetők fel. A legegyszerűbb ilyen eset az, amikor azonos üzenetet kü- 
lönböző időpontokban rejtjelezve küldünk. Determinisztikus lévén a rejtje- 
lezés, a rejtjeles üzenetek nyilván azonosak, ami információt jelent a támadó 
számára. Ezen probléma illusztrációjául tekintsük az RSA rejtjelezést e — 3 
nyilvános kitevővel, s tegyük fel, hogy először x majd x-t 1 üzenetet rejtje- 
lezzük. Ha a támadó megfigyeli a rejtjeles üzeneteket, ki tudja számítani x 
értékét. Ugyanis yi — x? (mod N) és ya — (x--1)? — 2 13x3x2 41 — 
y1t3x32-1 (mod N), így 
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y2-tH2yi—1 — x(32-3x1-3) S 
y2—yit2  3243x43 


adódik (ahol a kijelölt osztás művelete az RSA modulusra vett inverzzel való 
szorzást jelenti, s feltesszük az inverz létezését). 


13.3.1. Példák csapda egyirányú függvényre 


RSA csapda permutáció. Az RSA csapda permutáció létezésének alapja az 
alábbi RSA feltételezés. 


13.18. Definíció (RSA feltételezés). Tetszőleges hatékony T algoritmus, tet- 
szőleges p(n) polinom és elegendően nagy n esetén 


1 
PET(N e, Ene(x)) — xs 3) 

ahol a valószínűséget az alábbi valószínűségi változók eloszlása felett ké- 
pezzük: (N,e) az RSA publikus kulcsa, amit G(1") kulcsgeneráló algoritmus 
állít elő, x üzenet, amit az ősképtérből egyenletes eloszlás szerint véletlenül 
választunk, T hatékony algoritmus véletlen elemei, amiket számítása során 
felhasznál. 


1. A G(1") kulcsgeneráló algoritmus generál két, véletlenül választott p, g 
prímszámot, amelyek mindegyike 2"/? nagyságrendű, majd kiszámítja az 
((N,e), d) nyilvános-titkos kulcspárt, ahol N — pg az RSA modulus, to- 
vábbá ed— 1 mod 9(N). Az Xn.) ősképtér a 0,1,...,1— 1 halmaz. 
Van hatékony G(1") algoritmus kulcsgenerálás céljára: először is van ha- 
tékony algoritmus a prímválasztásra, majd ezek szorzatával előáll az N 
modulus, illetve a prímek eggyel csökkentett értékének szorzatából 0(N) 
értéke. A e kitevő megtalálásához, e — 3 értékről indulva, növeljük egyen- 
ként e értékét mindaddig, amíg /.n.k.o.(e, p(N)) — 1 feltétel nem teljesül. 
Mivel — p definíciójából levezethetően — fennáll a 


04) 


o(oW) 2 zom 


egyenlőtlenség valamely c számra, ezért A clnp(N) szám tesztelése ele- 
gendő az e kitevő megtalálásához. 

Szigorú értelemben (az Euler-Fermat-tétel kapcsán) az ősképtér nem Zw, 
hanem Zt, nem tartalmazva azon x üzeneteket, amelyekre /.n.k.o.(x, N) 7 
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1. Mivel azonban fü tiz (1 -3) ( -1) sz 1, ezért gyakorlatilag nincs 
szükség erre a megszorításra. Másrészt, ahogy láttuk az RSA dekódo- 
lás kapcsán, a dekódoló (szerencsésen) visszaállítja az üzenetet még az 
I.n.k.o.(x,N) 1 esetben is. 

2. A kódolás Ewe(x) —x" mod N, amely a d titkos kulcs ismerete nélkül, 
az RSA feltételezés következtében, nem invertálható. A kódolás művelete 
egy diszkrét hatványozás, ami hatékonyan végrehajtható. 

3. A d titkos kulcs ismeretében a dekódoló: (Ey,ep(2))" —x mod N, amely 
determinisztikus polinom idejű algoritmussal kiszámítható. 


Rabin-függvény. A G(1") kulcsgeneráló algoritmus generál két, véletlen p, 
a prímszámot, amelyek mindegyike 2"/? nagyságrendű. A nyilvános kulcs 
N — p: a, a csapda információ p, g. Tekintsük az 


Fw.e() —x mod N 


függvényt. Ezen függvény invertálása nehéz feladat, ha csak az N értéke 
ismert (lásd az alábbi tételt). Ugyanakkor az invertálás könnyű feladat, ha 
az N prímtényezői ismertek. 


z zi 
o 
o 
o o 
o 
o o 
o 


13.5. ábra. A Rabin-függvény nem bijektív: egy képtérbeli elemnek (kvadratikus 
maradéknak) 4 ősképe van 


Az invertálás nehézsége pontosabban a következőt jelenti: 


13.19. Tétel. Akkor és csak akkor létezik hatékony algoritmus a Rabin-függ- 
vény invertálására, ha létezik az egész faktorizációs feladatra is. 
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Bizonyítás: Mivel kvadratikus maradékból történő négyzetgyökvonás fel- 
adatra modulo prímszám aritmetikában polinom idejű megoldó algoritmus 
ismert, ezért, ha N két faktorját ki tudjuk számítani, akkor a Rabin-függvényt 
hatékonyan tudjuk invertálni. Ha viszont ezen faktorokat nem ismerjük, ak- 
kor az invertálás nehéz feladat: 

Indirekt bizonyításhoz tegyük fel, hogy van egy gyökvonó algoritmusunk, 
amely hatékonyan kiszámítja egy 


X-c (mod N) (13.6) 


egyenlet egy megoldását tetszőleges c kvadratikus maradék esetén. Válasz- 
szunk véletlenszerűen egy d, 0 c d € N számot, és számítsuk ki a négyzetét 
mod N. Legyenc—d? (mod N). Gyökvonó algoritmusunknak adjuk beme- 
netként ezen c kvadratikus maradékot, s legyen az algoritmusunk kimenete 
d". Nyilván d2— d"? —0 (mod N), azaz 


NI(d—d")(d-4-d. (13.7) 


Az algoritmusunk kimenete lényegében vagy d (azaz d" — dd (mod N)), 
vagy nem az (azaz d" 5 1d (mod N)), amely két lehetőség mindegyikének 
valószínűsége 1/2, d szám véletlenszerű választása miatt. 

Ha a d" — 4-d esemény következik be, azaz, ha (d—d" —0 vagy d--d"—-N 
), akkor a (13.7) oszthatóság triviális. A másik esetben viszont, sem d — d" 
sem d 4-d" nem osztható N-nel, ezért ekkor akár az 1.n.k.o.(N, [d — d"), akár 
az I.n.k.o.(N,d 4- d") legnagyobb közös osztó számítással N prímosztóját 
kapnánk meg, amivel ellentmondásra jutunk, hiszen az egész szám fakto- 
rizálás feladatot nehéznek sejtjük. a 


A Rabin-függvény formulája nagyon hasonló az RSA kódoló formulá- 
hoz (, mintha e — 2 publikus kitevőjű RSA lenne"). Felmerül a kérdés, hogy 
lehetne-e a Rabin-függvényt nyilvános kulcsú rejtjelező kódolóként gyakor- 
latban is használni. Sajnos több gond merül fel ezzel kapcsolatban: 

Először is probléma van az egyértelmű inverz biztosításával, azaz ami- 
kor a vételi oldalra megérkezik a rejtjeles üzenet, s négyzetgyököt vonunk, 
4 különböző megoldást, lehetséges nyílt üzenetet kapunk. Ezen az üzenettér 
leszűkítésével próbálhatunk meg segíteni. Egy lehetséges megoldás a követ- 
kező: a nyílt szöveg alsó j bitjét (pl. alsó 100 bitjét) véletlen bitekkel töltjük 
fel, azaz az n bites blokkból csak n— j bitet használunk egy m üzenet át- 
vitelére: m üzenet esetén egy x — [m,r) üzenetet képezünk, ahol r egy j bit 
hosszú véletlen sorozat, továbbá rejtjeles üzenetként [x2 (mod N), r) kerül 
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továbbításra. A dekódoló azt a gyököt választja, amelynek alsó j bitjén r 
áll. Ezzel elhanyagolható lesz annak a valószínűsége, hogy a választás nem 
egyértelmű. 

Az is lehetséges, hogy az üzenetek halmaza eredetileg is ritkított, például 
valamilyen természetes formátum követelménynek eleve eleget tesz. Vegyük 
azonban észre, hogy amint az egyértelmű dekódolhatóság szempontot kö- 
vetve ritkítjuk az üzenetteret, egyúttal megszüntetjük a faktorizációra redu- 
kálás (bizonyított biztonság) 13.19. tételbeli ötletét. 

Ha viszont nem ritkítjuk az üzenetteret, akkor a támadó választott rejtett 
szövegű támadással dekódolást kérhet egy tetszőleges rejtett szövegre, és 
a 13.19. tétel ötlete alapján faktorizálni tudná a modulust, s így a csapda 
információhoz jutna. 


13.4. Keménybit 


Abból a feltételezésből, hogy egy f függvény egyirányú, nem következik, 
hogy nehéz az ősképekre vonatkozóan részleges információt kiszámítani, 
tudniillik az invertálás nehézsége a teljes őskép, azaz mind az n bitjének 
kiszámítási nehézségére vonatkozik. 
Például, ha f függvény egyirányú, akkor — indirekt igazolással — könnyen 
láthatóan 
et) —(f699), bt [el 


is egyirányú, ugyanakkor ezen g egyirányú függvény ősképe bitjeinek fele — 
nyilván — könnyen , kiszámítható". 

Sejthetően kell, hogy legyen az ősképnek olyan bitje, amelyet nem tudunk 
kiszámítani, amelynek kiszámítása nem sikeresebb bármely hatékony algo- 
ritmus számára annál, mintha egyszerűen pénzfeldobással döntene annak ér- 
tékéről. Ezt a heurisztikát formalizálja egy egyirányú függvény keménybit- 
jének alábbi definíciója: 


13.20. Definíció (keménybit). Egy f : (0, 1)" — (0,1)" egyirányú függvény 
keménybit leképezése a b : (0, 1)" — (0,1) függvény, ha b hatékonyan ki- 
számítható, továbbá tetszőleges hatékony T" algoritmus és tetszőleges p(n) 
polinom, valamint elegendően nagy n esetén 


Pr(T(f(U))) —b(U,)) cz (13.8) 


zo ő 
A b függvény értékét az f függvény keménybitjének hívjuk (13.6. ábra). 
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könnyű 
x e ARE en eg f69 


könnyű nehéz 


b(x) 


13.6. ábra. Keménybit leképezés 


A következő keménybit tétel a továbbiakban kifejtésre kerülő több bizton- 
ságos konstrukció elméleti alapja. A tétel állításának ismerete is elégséges 
felhasználásának követéséhez, ezért első olvasásnál átugorható. 

13.21. Tétel (Goldreich-Levin). Legyen f egy hossztartó egyirányú függ- 
vény. Az 
few —(fedw), bl— wl, xwe (0,1j" 
egyirányú függvénynek b(x,w) — (x,w) keménybit leképezése, ahol (x,w) a 
skaláris szorzást jelöli, azaz (x,w) — Exj:"wj mod 2. 
j 





Bizonyítás: Indirekt feltételezésként tegyük fel, hogy létezik egy hatékony B 
algoritmus, továbbá p(n) polinom, hogy elegendően nagy n esetén 


PB 6) — e 2 139 


Ezen B algoritmusra redukálunk egy INV algoritmust, amely az f egyirányú 
függvényt invertálja. 
13.1. Algoritmus. Az INV algoritmus működése a következő: 


1. A (0,1)" halmazból véletlenszerűen kiválasztunk Yo, Yi, . . . , , elemeket, 
ahol t — c:10g2(n). A c konstansot a továbbiakban meg fogjuk határozni. 


2. Kiválasztunk : -t 1 véletlen bitet: Gj € (0,1), j— 0, 1,... ,t. 
3. Legyen Zy — 19 -t E X; ( mod 2), tetszőleges C (12, . . . , ) részhalmazra. 
ieI 


4. Minden k € (1,2,. . . ,n) esetén INV futtatja B algoritmust (f(),Zr E ex) 
bemenettel, ahol ex € (0, 1)" egységvektor a k-adik bitje kivételével zérus. 
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Definiáljuk a V/ — B(f(2),Zr € ex) 4- Go - Xier Gj (mod 2) biteket, k € 
: EB ASIBIK 


5. Minden egyes k € (1,2,. . . ,n) esetén az alábbi többségi döntést hozzuk: 
X4 — majorityy (V/) . 
6. Ellenőrizzük az f(x) — f(x) egyenlőség teljesülését, ahol x — Xi . . .X,, és 
Xx— Xi... .Xn, S ha fennáll az egyenlőség, akkor INV kimenete X. 
Azt fogjuk mondani, hogy egy x , jó", ha 
1 


2" 2) 


Indirekt bizonyításként azt mutatjuk meg, hogy INV algoritmus sikervaló- 
színűsége nem elhanyagolható, ha a (13.9) fennáll. A bizonyítás során ezen 
sikervalószínűségre adunk egy nem elhanyagolható alsó korlátot a következő 
egyenlőtlenségből kiindulva: 


P(B(f(9,w) — be w)) 22 


PrNV(f6)) — a) 2 (13.10) 
e. Br(xjój- Br(Gj — (x,y), je (0,1,..., :) lxjó)- 
Br(INV(f(9) —xlxjó és Gj — (x,y), je (0,1,..., tp). 


A továbbiakban (13.10) jobb oldali három valószínűségére adunk külön- 
külön alsó korlátot, műjd ezeket egyesítjük. 
1. állítás: Bríx jók 2 4 2: 
A (13. 9y; indirekt feltételezésből kiindulva 
1 5 PERT) — law) 
— EMB(fO9w) — (x.w) lx jó) Pr(xjój 
Pr(BIf0)w) — (x, w) ]x nem i6)T Bi T(x nem jó) 


sertsjó s (tg (ő Jee TÓ) 


b. 4 Brixjój (Ge 2 ig) 


ahonnan következik az 1. állítás. 
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2. állítás: Pr(G j — (x,Yj), j € (0,1,..,t) Ix jó) — zzz 
Mivel G; bináris valószínűségi változók függetlenek egymástól és a többi 
valószínűségi változótól: 


ELS 7 (x,Yj), j e (0,..,t)lxjó) — (13.11) 
- TTPAtG — — (x.Y)) 


t 


Tozrpéni 
-1II2-z7-ze 


amivel beláttuk a 2. állítást. 

Rövidség kedvéért jelölje W az (x jó és Gj — (x,Yj), j—0,1,... 1) felté- 
telt. 
3. állítás: Pr(INV(f0)) —) IWj 2 1— Hi 

Ezen állítás alábbi bizonyításában a valószínűségek W feltétel mellettiek; 
a formalizmus könnyebb követhetőségét remélve elhagyjuk ezen feltétel ki- 
írását. Ha minden i — 0, 1, . . . ," esetén G; — (x,Y;), akkor 


Got EG; mod 2 — (x,Zp). 
iel 
Definiáljuk a 


c! — 1, havi 72 
k 10, havi 4 xx 


függvényt. Vegyük észre, hogy C/ a V/ definícióján keresztül csak Z, függ- 
vénye. Így, mivel a különböző / halmázók esetén Z; valószínűségi változók 
páronként függetlenek, ugyanez igaz C/ valószínűségi változók halmazára 
is. C/ definíciója alapján 


Ld 
Pr(xx— xx) —P(YC 2 ab (13.129 
fi 


mivel 2" részhalmaza van (1, 2, . . .  ) halmaznak. Ugyancsak C( definíciója 
alapján Elcf) — s PIVI zal]: 1/24 1/(2p(n)). Így 


1 
e[ga] 78 Ge 2) (13.13) 
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adódik. (13.12) és (13.13) felhasználásával kapjuk, hogy 


Yyd- (3) za] 


Innen a Csebisev-egyenlőtlenség felhasználásával a következő felső becslést 
kaphatjuk: 


var[ydi[dcor Elza] arnr 
22 b 22 
ahol az első egyenlőtlenségnél kihasználtuk, hogy 0-1 értékű, páronként füg- 
getlen valószínűségi változók összegét tekintjük. Ha a c konstansra n" 2 
4(p(n))?n? egyenlőtlenség teljesül, figyelembe véve a t — c :10g2(n) ösz- 
szefüggést, először a 4(p(n))?/2 £ 1/r?, majd (13.14) alapján Plxx 4 x4] S 
1/n? formulára jutunk. Innen adódik, hogy 


Pr(x—x) 21— YPr(x— 4) 2 1—n-(1/n?) — 1 — 1/n, 
k 


Príx Ax) S mí 











s HEÉ, (13.19) 


s ezzel beláttuk a 3. állítást. 

Visszatérve a (13.10) egyenlőtlenséghez, figyelembe véve a fentiekben 
kapott három részeredményt az alábbi alsó korlátot kapjuk az INV algorit- 
mus sikervalószínűségére: 


Pr(INV(f(9) — 1) 2 ori zzz (1-5): 


Válasszuk c konstansot n" — 4(p(n))2n? szerint, amivel 


aga) 


alsó becslésre jutunk, ami ellentmondana az f függvény egyirányú tulajdon- 
ságának. ii 

A Goldreich-Levin-(GL)-tétel alkalmazásaként tekintsünk egy F csapda 
egyirányú permutációt. Képezzünk egy F" csapda egyirányú permutációt az 
F permutáció — 13.17. definíció szerinti — kódoló és dekódoló algoritmusai- 
nak alábbi módosításával (a kulcsgeneráló algoritmus azonos marad): 


E(pk,(x,r)) — E(pk,x),r 
D(sk,(z,r)) — D(sk,2),r, 
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ahol r tetszőleges bitsorozat, amelyre Ir) — hx] — Iz]. Az így kapott csapda 
permutáció keménybit leképezése bpx(x,r) — (r,x)- Így a GL-tétel esetfüg- 
getlen konstrukciót mond a keménybit leképezésre, ráadásul a leképezés na- 
gyon egyszerű. Tehát a keménybit definíciója értelmében, ha véletlenszerűen 
választjuk az x és az r elemeket, továbbá a (pk, sk) kulcs-párt, akkor 1/2 fe- 
lett elhanyagolhatóan kicsi annak valószínűsége, hogy az E" kódoló kimenete 
ismeretében helyes döntést lehessen hozni a keménybitre. 


13.4.1. . Az RSA algoritmus egyszerű keménybit-leképezése 

RSA esetén az üzenet Isb (legkisebb helyiértékű) bitje keménybit. Ezt mond- 
ja ki az alábbi tétel: 

13.22. Tétel (RSA Isb bit). Tetszőleges hatékony Z algoritmus, tetszőleges 
p(n) polinom és elegendően nagy n esetén 

KEZSA 

plny" 

ahol a valószínűség számításával kapcsolatos megjegyzésünk az RSA feltéte- 
lezés defi níciójánál mondottakkal azonos. 


Egy kapcsolódó, egyszerűbben igazolható, enyhébb állítást bebizonyítunk 
az alábbiakban, amelynek bizonyításlogikája azonban jól mutatja a 13.22. 
tétel bizonyítása lényegi ötleteit a hosszabb technikai részletek nélkül. 
13.23. Tétel. Tetszőleges hatékony Z algoritmus, tetszőleges p(n) polinom 
és elegendően nagy n esetén 


PIIZIN e Eren) — I5D(1)) 2 5-4 


PT(ZN e, Exel) z Isb(x)) c 1. 


Bizonyítás: Tegyük fel, hogy a tétel állítása nem igaz, azaz létezik olyan 
hatékony algoritmus, amely 1 valószínűséggel megmondja az RSA rejtjele- 
zés által rejtjelezett üzenet ismeretében az üzenet Isb bitjét. Legyen Xx; — 0, 
ha x € (t -N/2i, (t 4-1) - N/2/) egy t páros számra (a zérust is beleértve), 
illetve X; — 1, ha x € (t - N/2i, (t 4-1) - N/2!), egy t páratlan számra, i — 
1,2,... , IIJog2 N]. (Vegyük észre, hogy x nem eshet a tartományok határára 
N RSA modulus képzése miatt.) 

Például, ha x 0 és N/2 közé esik, akkor Xs — 0, ha pedig x N/2 és N közé 
esik, akkor Xi — I. X2 értéke tovább felezi az értéktartományt: így például, ha 
xN/2 és 3N/4 közé esik, akkor xy — 1 és x2 — 0. Nem nehéz belátni, hogy 


X;—Isb(2ix mod N). 
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Például, ha x; — 0, akkor x € (t - N/2i , (t t- 1)N/2!), ahol t páros, követke- 
zésképp 2ix mod N — 2ix —1-N, ahol a jobb oldal párossága miatt a bal 
oldal is páros, azaz Isb bitje valóban 0. Hasonlóan gondolható végig az X; — 1 
eset is. 

Számíttassuk ki a tételbeli Z algoritmussal x; — Z(n, e, V;) biteket, ahol 


V, — Ene(2ix) — En,e(x) -Ene(2) (mod N) 


1—1,2,..., [Jog NI. Az x üzenet az x; bitek alapján már könnyen rekonst- 
ruálható a támadó számára. a 


13.5. Feladatok 


13.1. Feladat?. Mutassuk meg, hogy ha van algoritmusunk az egész szám 
faktorizáció keresési feladatra, akkor van a kapcsolatos döntési feladatra is! 


13.2. Feladat. Tekintsük a prímség döntési problémát, mint RP-beli döntési 
problémát. A Rabin-Miller-prímteszt esetén adja meg a döntési pontosságot! 


13.3. Feladat. Tekintsük a BPP bonyolultságosztályt. Legyen M véletlen 
polinom idejű Turing gép 3 -k aj döntési pontossággal, ahol p(n) egy poli- 
nom, továbbá x az M gép n bites bemenete. Mutassuk meg, hogy M alapján 
konstruálható egy M" gép, amelynek pontossága legalább 2/3! 


13.4. Feladat. Legyen fien(x) az x bemenetének bitben mért hosszát biná- 
ris számként megadó függvény. Egyirányú-e ez a függvény, ha az invertáló 
algoritmus időkorlátja 


1. p(Ifien(x)l) 
2. p(Ixl) valamely p(n) polinomra! 


13.5. Feladat. Egy Z ,invertáló" algoritmus véletlenszerűen választ egy be- 
menetet. Mekkora a siker valószínűsége, ha 


1. f permutáció 
2. f egy konstansba képez le! 


13.6. Feladat. Igaz vagy sem a következő állítás: ha f(x) egy erősen egyirá- 
nyú függvény, akkor g függvény is erősen egyirányú függvény, ahol g(x,r) — 
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(f(9;r), ha rlog; Ix] számú zérussal kezdődik, egyébként legyen g(x,r) — 
Cr), bl— [1 — n. 


13.7. Feladat. Adja meg az f(c,x) — (0,x), ce (0,1), x c (0, 1)" függvény 
keménybit leképezését! 


13.8. Feladat. Igazoljuk, hogy egy f(x) függvény b(x) keménybit leképe- 
zése kiegyenlített, azaz a [Pr(b(Un) — 0) — Pr(b(U,) — 1) differencia elha- 
nyagolhatóan kicsi! 


13.9. Feladat. Mutasson példát olyan függvényre, amely triviálisan nem 
egyirányú, ugyanakkor van keménybitje! 


13.10. Feladat. Legyen g(xi,x2) — [f(xi), f(x2)], f:(0,1)7— (0,1)" ala- 
kú gyengén egyirányú függvény. Tegyük fel, hogy egy Z invertáló támadó a 
€ függvény kimenete ismeretében képes ősképet meghatározni tetszőleges 
(xi, x2) bemenet esetén, kivéve az xi koordináta lehetséges értékei halma- 
zának 1/4-nél kisebb részéhez tartozó kimeneti értékeket. Adjon meg egy 
olyan algoritmust, amely tetszőlegesen nagy valószínűséggel képes inver- 
tálni az f függvényt. 


13.11. Feladat. Legyen f : 2" — £" egy egyirányú függvény, és legyen g : 

Et o E" egy polinom időben kiszámítható függvény. 

1. Tekintsük az f"(w) — [f(w), e(w)] függvényt. Mutassuk meg, hogy g vá- 
lasztható úgy, hogy bármely f esetén f" nem egyirányú. 

2. Egyirányú-e az f o g, illetve a g o f összetett függvény? 

3. Tegyük fel, hogy £ — (0,1). Legyen f és g hossztartó. Egyirányú-e az 
foglw) — f(w) 0 g(w) függvény? 

4. Ha létezik f egyirányú függvény, mutassuk meg, hogy létezik olyan f" 
egyirányú függvény, amelyhez létezik polinom idejű Z algoritmus, amely 
ki tudja számítani w paritását f"(w) ismeretében! 


13.12. Feladat. Legyen f : 2" — X" egy hossztartó egyirányú függvény, és 
legyen g : Et — X" egy hossztartó, polinom időben kiszámítható függvény. 
Mutassuk meg, hogy az f"(x,y) — [/(9, 800] függvény egyirányú. 7 
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13.13. Feladat". Mutassuk meg, hogy ha van hatékony algoritmus az egész 
szám faktorizáció feladatra, akkor hatékonyan tudjuk invertálni az RSA kó- 
dolást. 


13.14. Feladat". Mutassuk meg, hogy ha hatékonyan tudjuk kiszámítani 
(N) értékét, akkor hatékonyan tudjuk faktorizálni N modulust is. 


13.15. Feladat". Mutassuk meg, hogy ha az e nyilvános kitevő 3, és ha hoz- 
zájutunk a d titkos kitevőhöz, akkor a modulust hatékonyan faktorizálni tud- 
juk. 


13.16. Feladat". Az RSA multiplikatív tulajdonságú: tetszőleges mi, m2 
üzenetpárra, Epk(mim2) — Epk(mi) Epx(m2) mod N. Ezen tulajdonság isme- 
retében mutassuk meg, hogy ha a támadó az üzenetek 1 százalékának haté- 
kony dekódolására képes, akkor képes minden, pk publikus kulccsal kódolt 
üzenet hatékony dekódolására is. 


13.17. Feladat. Tekintsük az x" (mod N) leképezést, ahol N p és g, külön- 
böző prímek szorzata. Lehet-e ez a leképezés egyértelműen dekódolható, ha 
(4, 0(N)) 51? 


13.18. Feladat. Mi történik az RSA dekódolás kapcsán, ha prímteszten , át- 
csúszott" összetett számot (álprímet) használunk? Mi a helyzet akkor, ha az 
álprím Carmichael-szám? 


13.19. Feladat. Gondot jelenthet-e, ha e nyilvános kitevő rendje mod $(N) 
nem elég nagy? 


14. 


Véletlen és algoritmikus 
megkülönböztethetőség 


A véletlen elem (bit, bitsorozat) nagy szerepet játszik a kriptográfiai algorit- 
musokban. Gondoljunk egy rejtjelező vagy digitális aláíró algoritmus titkos 
kulcsára, a kriptográfiai protokollok friss elemére, az üzenet véletlenítésére 
rejtjelezést megelőzően vagy például prímtesztelő algoritmusokra az RSA 
esetén. A véletlen elem minősége kritikus ezen alkalmazások legtöbbjében, 
mivel a statisztikai függés, a redundancia a támadás erejét növeli. Ezért ideá- 
lisan valódi véletlen bitek (pl. pénzfeldobás-sorozat elemei) alkalmazása kí- 
vánatos. Ez azonban tipikusan költséges megoldás, különösképp nagyobb 
rendszerek kriptográfiai alapú védelme, s legtöbb PC alapú, kommerciális 
implementáció esetén. 

A véletlenség első algoritmikus definícióját Kolmogorov adta, amely sze- 
rint egy bináris z sorozat véletlenségét, Kolmogorov-komplexitását, a Soro- 
zatot reprodukáló algoritmusok közül a legkisebb bináris leírású algoritmus 
mérete adja. Következésképpen z sorozat valódi véletlen, ha a legrövidebb 
reprodukáló algoritmus mérete pontosan Iz] (azaz nem kisebb ennél). Sajnos 
nincsen olyan hatékony algoritmus, amely ki tudná számítani egy bemene- 
tére adott z sorozat Kolmogorov-komplexitását. 

Az algoritmikusan véletlen fogalmának egy sokkal használhatóbb megkö- 
zelítése az az álvéletlenség fogalom, amely a valódi véletlentől hatékony al- 
goritmussal való megkülönböztethetetlenségen alapul. Ezen fogalom szerint 
az álvéletlen elem értékét az adja, hogy valódi véletlen elemekkel ekvivalens 
módon alkalmazhatjuk polinom erőforrás-korlátú algoritmusainkban. 

Miután a bizonyítható biztonság számos fogalma is valószínűség-elosz- 
lások algoritmikus megkülönböztethetőségére vezethető vissza, vagy azzal 
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kerül definiálásra, ezért a jelen fejezetben igyekszünk ezen fontos koncepciót 
a továbbiakhoz szükséges mértékben körüljárni. 


14.1.  Valószínűség-eloszlások algoritmikus 
megkülönböztethetősége 

Tekintsük a véges hosszúságú, bináris sorozatok (megszámlálható) halmazát 
és ezen halmaz felett D és D" valószínűség-eloszlásokat. Tekintsünk továbbá 
tetszőleges Z : (0, 1)" — (0, 1) megkülönböztető algoritmust, amely véges t 
erőforrás mellett kívánja megkülönböztetni a D és D" diszkrét valószínűség- 
eloszlásokat az abból vett minta alapján. Z kimenete 1, ha D eloszlásra dönt, 
illetve kimenete 0, ha D" eloszlásra dönt. Mérje 


I Pr (Z0)—11— Pr (Z0)— DI 


a Z algoritmus megkülönböztető erejét, ahol x — D a D eloszlásból vett x 
mintát jelzi. Tehát Z algoritmus megkülönböztető ereje D és D" eloszlások 
vonatkozásában két feltételes valószínűség különbségének abszolút értéke, 
ahol az egyik feltételes valószínűség azon esemény valószínűsége, hogy Z 
algoritmus helyesen a D eloszlásra dönt feltéve, hogy a minta a D elosz- 
lásból származik, a másik feltételes valószínűség azon esemény valószínű- 
sége, hogy hibásan a D eloszlásra dönt miközben a minta a D" eloszlásból 
származik. 


14.1. Definíció ((z, €)-megkülönböztethetetlen). D és D" diszkrét valószínű- 
ség-eloszlás párt (t, £)-megkülönböztethetetlennek nevezzük, ha 
— — kazi 63 
max I Pr (Z6) 1) 2 (09) —-1)I se, (14.1) 


ahol a maximumot a megkülönböztető algoritmusok felett vesszük. 


A (14.1) maximumra az alábbiakban a d, (D, D") rövidebb jelölést használ- 
juk. A (14.1) kifejezés alapján 0 £ d.(D, D") £ 1, továbbá annál jobban meg- 
különböztethetőnek tartjuk D és D" eloszlás-párt, minél nagyobb a d,(D, D" ) 
érték. Vegyük észre, hogy (14.1) kifejezésben el is hagyhattuk volna az ab- 
szolút értéket: származtassunk ugyanis egy Z" algoritmust Z algoritmus (bi- 
náris) kimenete negálásával, ekkor 


PG (26) —1)— Pr (70) 1) 
——( Pr (7) —1)— Pr (7160) — 1, 
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tehát, ha egy algoritmusra a maximális megkülönböztető erő adódik, akkor 
ez az algoritmus vagy a fenti egyszerű származtatása nemnegatív különbsé- 
get ad. 

Valószínűségi változókra is kimondjuk a megkülönböztetés definícióját. 
Legyen X illetve Y valószínűségi változó D illetve D" eloszlású, amelyek Z 
algoritmus általi megkülönböztetésén az alábbi kifejezést értjük: 


IPr(Z(X) —1)—PH(Z(Y) — 11. 


Alkalmazásainkban Z algoritmus tipikusan egy támadót (támadást) model- 
lez. Ekkor a megkülönböztethetetlenség 14.1. definíciója a támadással szem- 
beni ellenálló képességnek, biztonságnak a mértékét adja. A t erőforrás a 
támadó erőforrásainak egy listáját adhatja meg: például számítási lépések 
száma, tárkapacitás, orákulum-kérések száma (orákulum-hozzáférésként 
modellezve például egy választott nyílt szövegű támadást). 

Hasznosak lesznek a továbbiakban a d,(D, D") leképezés alábbi tulajdon- 
ságai: 





1. Tulajdonság: d,(D, D") leképezés távolság. 
Bizonyítás: Lássuk be, hogy fennáll az alábbi háromszög-egyenlőtlenség: 


d.(D,D") £ d.(D,D) 4-d(D,D") (142) 
teszőleges D, D" , D" éloszlásokra. A (14.1) definíciót felhasználva 
d.(D,D") — maxi) Pr p (Z (2) 15 Pr r (ZG/) — sa Ét 
- mux], Pr (2) — - 1— Pr AZ) — 71) 
4 Pr (ZG)—1)— Pr (Z6) HI 
S max I Pr (Z6) si — Pr (Z6) sz 1] 
zi [AZ 7b "Ezt sz 
a 


Jelölje D és D" eloszlás eloszlásfüggvényét Pp(x) illetve Ppr(x). A mate- 
matikai statisztikából ismert statisztikai távolság (variációs távolság) definí- 
ciója: 

1 
V(D,D)- XIP6)— Pod], (143) 


F 
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azaz a két eloszlás Li távolságának a fele. t — co jelölje a korlátlan erőfor- 
rást. A (14.1) kifejezés szerinti távolság és a variációs távolság kapcsolatát 
mondja ki az alábbi tulajdonság. 
2. Tulajdonság: 
V(D,D?) — d..(D,D") (14.4) 


Bizonyítás: Először is vegyük észre, hogy 
V(D,D9) — Pp($S") —Pp (s), (14.5) 
ahol S" — (x : Pp(x) 2 P(x) és P(S) — Yves P(x). Ezt felhasználva 
do(D,D") — maxl Pr (Z6)—13— Pr (Z6)— DI 


— max] S [P6J—Poe9] I 
x:Z(x)—1 


7 max b (Pp(x)—Pp(x)] 
aZ()—1 


- Y [(Pbe)—Pp(9]—V(D,D), 


xESt 


ahol az utolsó előtti sor az általánosság megszorítása nélkül adódik, mivel 
Z kimenete negálásával egy, csak ebben különböző algoritmus adható meg 
helyette, továbbá az utolsó egyenlőség S" definíciója alapján látható. A kor- 
látlan erőforrás azért kell, hogy az x minta S" halmazba tartozása eldönthető 
legyen tetszőleges D, D" eloszlás pár esetén (egy általános eloszlás tipiku- 
san nem írható le polinomiális erőforrással, ti. megadásához fel kell sorolni 
Pp(x) valószínűséget az összes x értékhez). o 


2. Tulajdonság következménye: Tetszőleges véges f értékre 
d,(D,D") SV(D,D) (14.6) 


Bizonyítás: Az állítás a 2.Tulajdonság, valamint a nyilvánvaló d,(D, ú 2 
d..(D, D") egyenlőtlenség következménye. 


A (14.6) egyenlőtlenség azt fejezi ki, hogy ha statisztikai távolságban két 
eloszlás közel van, akkor algoritmikus megkülönböztethetőség szempontjá- 
ból is közel van. Megfordítva az állítás nem igaz: konstruálható eloszlások 
Párja, amelyek algoritmikusan közeliek, ugyanakkor a statisztikai távolságuk 
nagy. 
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A 14.1. definíció egy minta alapján történő döntésre vonatkozik. A defi- 
níció kiterjeszthető m 2 2 minta alapján történő megkülönböztetés esetére. 
Tekintsük először az m — 2 esetet. Jelöljön Di x D2 kétdimenziós eloszlást, 
amelynek DI , Da peremeloszlásai függetlenek, azaz 


Pp xDa(x1,x2) — Pp. (xi) - Pp. (x2), Vx1,x2- 
3. Tulajdonság: 
d.(D x D,D! x D) S 2d.(D,D") (14.7) 
Bizonyítás: Először lássuk be a következő segéd-egyenlőtlenséget: 
d.(D x D,D x D) S 4 (D,D). 


Ugyanis, ha létezik Z algoritmus t erőforrással, amely d előnnyel megkü- 
lönbözteti D x D és D x D" eloszlásokat, akkor létezik Z" algoritmus, amely 
ugyancsak t erőforrással és ugyancsak d előnnyel megkülönbözteti D és D" 
eloszlásokat: ha Z" bemenete y, akkor Z" futtatja Z algoritmust (r,y), r— D 
bemenettel. A háromszög-egyenlőtlenség és ezen segédegyenlőtlenség al- 
kalmazásával adódik a (14.7) állítás: 


d4(D x D,D! x D") £ d(D x DDD x D) 4-d(D x DD! x D") £ 24 (DD). 


imi 


14.2.  Polinomiális időben megkülönböztethetőség 


A 14.1. definíciót terjesszük ki eloszlások D — (Da )nen, D" — (Di. nen vég- 
telen halmaza párjára. A továbbiakban a tömör szóhasználat kedvéért inde- 
xelt elemekből álló végtelen halmazt együttesnek (pl. eloszlások együttese, 
valószínűségi változók együttese) nevezünk. Legyen X, illetve F valószínű- 
ségi változó D, illetve D;, eloszlású. Speciális szerepet játszó valószínűségi 
változó együttes U — (Un)nen, ahol U, egyenletes eloszlású valószínűségi 
változó. 

Tipikus alkalmazásban ezen valószínűségi változók értékkészlete n bites 
sorozatok halmaza, ahol n például egy biztonsági paraméter (pl. kulcs, kime- 
net/bemenet blokk) mérete. Az aszimptotikus vizsgálatoknál arra vagyunk 
kíváncsiak, hogy az n paraméter értékének növekedésével a számszerűsített 
biztonság hogyan növekszik. A 14.1. definícióban mind a t erőforráskorlát, 
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mind pedig a megkülönböztetés e mértéke rögzítettek voltak. Most a Z tá- 
madó erőforrására és a megkülönböztetés mértékére n paraméterrel változó 
megkötést teszünk: 
14.2. Definíció (polinomiálisan megkülönböztethetetlen). 
Valószínűségi változók két együttese, X — (Xn)nen és Y — (Y. nen polino- 
miális időben megkülönböztethetetlen, ha tetszőleges hatékony Z algoritmus, 
valamint tetszőleges p(n) polinom és elegendően nagy n esetén 
1 
5—1j- z —— 14.8 
IP(Z(X)—19—PK(ZK) 1 c 5( (14.8) 
A definíció megfordításaként azt mondhatjuk, hogy valószínűségi változók 
két együttese, X — (X.. nen ÉS Y — (Y. nen polinomiális időben megkülön- 
böztethető, ha létezik hatékony Z algoritmus és létezik egy p(n) polinom, 
hogy végtelen sok n értékére 
1 
z 1)—- a 2 —— . je 
IPK(Z(X) —19—P(Z(Y) — 112 Ő (14.9) 
A 14.2. definíció egy minta alapján történő döntésre vonatkozik. Általá- 
nosítható polinomiális sok, m — g(n) mintára, ahol g(n) egy polinom. Az 
alábbi tétel bizonyítását a hibrid bizonyítástechnika széles körben alkalma- 
zott módszerével végezzük, s egyben ezen technikát is bemutatjuk, 


14.3. Tétel. Polinomiálisan sok minta alapján sem lehet megkülönböztetni 
két valószínűségi változó együttest, ha egy minta alapján nem lehet. 


Bizonyítás: Z támadó bemenetként m független, azonos eloszlású mintát kap, 
amelyek D vagy D! eloszlásból származnak, így az m minta eloszlása vagy 
Dix D2x-:- x Dm vagy D) x D9 x -:: x DI. Indirekt bizonyításhoz tegyük 
fel, hogy Z sikeres ezen utóbbi eloszláspár megkülönböztetésében. Konstru- 
álunk ennek alapján egy Z" támadót, amely Z felhasználásával megkülön- 
bözteti D, D" eloszlás-párt, s ezzel ellentmondásra jutunk. Vezessük be a 


H2-Dpx...XxD4xDl41...xD, 


ún. k-adik hibridet, k — 0, 1,... ,m. A H" — Dp x D2 xx Da és HO — 
DI x D) x :.- x Dj, hibridek az ún. extrém hibridek. Tegyük fel, hogy Z 
sikeres — az új fogalmaink szerint — az extrém hibridek megkülönböztetése 
feladatban. Legyen Z" támadó az alábbi: 

1. Z" bemenete c, amely - Z" szemében - 1/2 valószínűséggel D vagy D". 
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2. Z" kisorsol egy k értéket a (0, 1, . . . nm — 1) halmazból. 
3. Z! a Z számára bemenetként a következő eloszlást küldi: 
h-Dix---x DEX x Diz x D- 


Z! bemenetétől függően, h — H"t! (ha az — D), illetve h — H! (ha ar — D9). 
4. Z" kimenete egyezzen meg Z kimenetével. 





























14.1. ábra. Redukció 


Következésképp 
PríZ"(D) —1) — s Pr(Z(H"t1) — 1), 
m 
Pr(Z"(D9) —1) — LE petra) z1) 
Mm kg 
így 
IPrfZ"(D) —1)—P(Z"(D") — 11 — 
— LIS petzterttn) 5 Petz) — 1 
Mm kh 


— EPRZGETT) —1)—Pr(Z(H) — 1) 
11 1 

e 

ETONZON 
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ahol p"(n) — a(n)p(n), azaz D és D" eloszlásokat egy minta alapján nem el- 
hanyagolható mértékben meg tudnánk különböztetni, amivel ellentmondásra 
jutottunk. Ím] 


Az elhanyagolhatóság definíciójának egyik értelmét az adja, hogy haté- 
kony algoritmussal csak elhanyagolható mértékben megkülönböztethető va- 
lószínűségi változó együtteseket nem tudunk megkülönböztetni egymástól. 
Ugyanakkor, amennyiben két eloszlás megkülönböztethető, elegendő számú 
minta vételével tetszőlegesen pontos megkülönböztetés hajtható végre. 


14.3. Feladatok 
14.1. Feladat. Tekintse az alábbi eloszlás-párt: 


22- -1 

sz" tÜsrez 

3 s ú 
D(x) — JE öéml xx? 


327" ha0 Sxc2! 
52" haz] Sxc2. 


D()z ( 


1. Adjon megkülönböztető algoritmust! 
2. Lehet-e 1/6-odnál jobb a megkülönböztető képesség? 


14.2. Feladat. Szeretnénk megkülönböztetni egy igazi pénzérmét egy kül- 
sőre teljesen azonos hamis pénzérmétől. Azt tudjuk, hogy a hamis érme fel- 
dobáskor 1/2-t 1/p(n) valószínűséggel esik fej oldalára, ahol p(n) egy po- 
linom. Kezünkbe adják a két érme közül az egyiket. 

Vegyük észre a kapcsolatot a 14.1. definícióval: D — (1/2 -4- 1/p(n), 
1/2- 1/p(n)), D" — (1/2, 1/2). Tekintsük a következő megkülönböztető 
algoritmust: a fejdobások relatív gyakoriságát számoljuk, s az algoritmus ki- 
menete 1 (hamis pénzre dönt), ha a relatív gyakoriság nagyobb, mint 1/2-k 
1/(2p(n)). Az analízishez a Chernoff-féle felső becslést alkalmazzuk. Ho- 
gyan alakul n-ben aszimptotikusan a megkülönböztetés valószínűsége poli- 
nomiális számú dobás esetén? 


14.3. Feladat. Egy F eloszlású valószínűségi változót egy 1" erőforrású L : 
(0,14 — (0,1y" algoritmussal leképezünk, s az eredmény eloszlását je- 
lölje L(F). Mutassuk meg, hogy d,(L(D),L(D")) £ dr44(D,D"), ahol t4-t" 
az egyesített erőforrást jelenti! 
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14.4. Feladat. Jelölje DJE a D eloszlású valószínűségi változó E esemény- 
re, mint feltételre vett feltételes eloszlását. Igazoljuk a következő egyenlőt- 
lenséget: 

d.(D,D") S d:(DIE, DIE) 4-P(E), 


ahol E az E komplemense! 


14.5. Feladat. Nagy variációs távolságú eloszlások is lehetnek hatékony 
algoritmussal megkülönböztethetetlenek. Legyen D egyenletes eloszlás a 
(0,1y" halmazon, továbbá legyen D" eloszlás koncentrált: egyenletes elosz- 
lású a (0, 1)" egy 27/2 méretű részhalmazán. A variációs távolság 1—2"/2, 
azaz közel maximális. Igazoljuk — ennek ellenére — a polinomiális-idejű 
megkülönböztethetetlenséget! 


14.6. Feladat. Valószínűségi változók két együttese X — (Xntnenv és Y — 
(Y..] nen polinomiális időben megkülönböztethetetlen. Legyen L egy haté- 
kony algoritmus. Mutassuk meg, hogy X" — (I(X.) nen és Y" — (L(Yn) nen 
valószínűségi változó együttesek is polinomiális időben megkülönböztethe- 
tetlenek! 


14.7. Feladat. Valószínűségi változók két sorozata, X — (Xntnen és Y — 
(Y.])nen legyen variációs távolságban közeli, s legyen f : (0, 1)" — (0, 1y 
tetszőleges függvény. Mutassuk meg, hogy ekkor az X" — (f(Xn) nen és 
Y! — (f(W.) ren valószínűségi változó sorozatok is közeliek variációs tá- 
volságban! 


14.8. Feladat. Mutassuk meg, hogy a variációs távolság egy ekvivalens de- 
finíciója az alábbi: (Xv nev és (Yn)nen valószínűségi változó sorozat akkor 
és csak akkor közeli variációs távolságban, ha tetszőleges S C (0, 1)" esetén 


As(n) — IP(X, €5)—P( € 5)I 


elhanyagolhatóan kicsi n-ben! 


14.9. Feladat". Terjesszük ki a 3. Tulajdonságot m 5 2 minta esetére! 


15. 


Álvéletlen-generátor 


Kriptográfiai alkalmazások (sok résztvevős protokollok) sok véletlen bitet 
igényelhetnek, ugyanakkor a valódi véletlen bitek előállítása költséges, s leg- 
többször speciális hardvert igényel. Felmerül a kérdés, hogy lehetséges-e vi- 
szonylag kevés valódi véletlen elemet , szaporítani" hatékony algoritmussal 
olyan módon, hogy az eredményül kapott álvéletlen biteket a valódi vélet- 
lentől ne lehessen megkülönböztetni. 

Egy G biztonságos álvéletlen-generátor helyettesítheti a one-time pad vé- 
letlen kulcsfolyamát (15.1. ábra). Ennek az az előnye, hogy egy , szokásos" 
szimmetrikus kulcs méretű, valódi véletlen bitsorozatot (5) kell csak titokban 
megosztani a két félnek, a rejtjelezendő (tömörített) üzenetek bithosszának 
megfelelő számú valódi bit helyett. Hátránya azonban az, hogy a létező biz- 
tonságos álvéletlen-generátorok sok számítást kell elvégezzenek egy-egy ál- 
véletlen bit generálásakor, míg egy valódi véletlen kulcsú one-time pad ese- 
tén ez a művelet egyszerűen a következő véletlen bit tárból való olvasásának 
idejét jelenti. 





G(5)o x 





























15.I. ábra. One-time pad rejtjelezés álvéletlen kulcsfolyammal 
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15.1.  Álvéletlen-generátor és az egyirányú függvény 


15.1. Definíció (valószínűségi változók álvéletlen együttese). 

Valószínűségi változók X — (Xn)nen együttese álvéletlen, ha polinomiális 
időben megkülönböztethetetlen az egyenletes eloszlású valószínűségi válto- 
zók U — (Un)nen együttesétől. 


Ha egy együttes — a fenti definíció értelmében — álvéletlen, akkor az ekvi- 
valensen használható valódi véletlen sorozat helyettesítőjeként tetszőleges 
hatékony T algoritmusban. Ha ugyanis megkülönböztethető lenne a T algo- 
ritmus futása a két esetben, akkor a 7 algoritmus maga, egyben egy hatékony 
megkülönböztető algoritmus lenne, ami ellentmondás. 

A továbbiakban az X,, valószínűségi változó az n € N indextől függő hosz- 
szúságú bináris vektor: Xn — (Xxn,1,.Xn.2,  .Xnon(n))- 
15.2. Definíció (predikálhatóság). Valószínűségi változók együttese akkor 
predikálható, ha létezik hatékony algoritmus, amely Xn valószínűségi vek- 
torváltozó tetszőleges j bites prefi xe alapján a ( j 4-1)-edik bitet nem elha- 
nyagolható valószínűséggel predikálni képes, 1 £ j C m(n). 
15.3. Tétel. Valószínűségi változók együttese akkor és csak akkor álvéletlen, 
ha nem predikálható. 


Bizonyítás: Lásd a 15.1. feladatot. o 


15.4. Definíció (álvéletlen-generátor). A G : (0,1)" — (0,1)" álvéletlen- 

generátor (PRG, PseudoRandom Generator) egy determinisztikus, polino- 

miális idejű algoritmus, amely teljesíti a következő két feltételt: 

1. hossznövelés: létezik egy I : NÖ N függvény, amelyre I(n) 5 n tetszőleges 
n E N értékre, továbbá IG(5)I — I(I5]), ahol s € (01); 

2. álvéletlenség: valószínűségi változók (G(Un) nen együttese álvéletlen. 


A generátor s bemenetét szokás a generálás magjának nevezni. A konstruk- 
ció első lépése, az egy bittel növelés, azaz az I(n) — n-- 1 eset igényli a 
lényegi ötletet. Innen, ugyan nem triviális, de alapvetően egy redukciós tech- 
nikai lépéssel lehet a tetszőleges polinomiális hosszra növelést elvégezni. 

A konstrukció egyirányú függvényre épül. Pontosabban, a bemutatandó 
konstrukció egyirányú permutáción alapul. Ez a , legegyszerűbb" eset, ami 
ugyanakkor a tetszőleges egyirányú függvényre épülő konstíukció lényeges 
ötleteit is tartalmazza, az egyébként bonyolult technikai részletek minimu- 
mon tartása mellett. Ugyancsak nem mutatjuk be annak a fontos egzisztencia 
tételnek a teljes bizonyítását, amely kimondja, hogy: 
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15.5. Tétel. Álvéletlen-generátor akkor és csak akkor létezik, ha létezik egy- 
irányú függvény. 

Az egyik irányban azonban bebizonyítjuk a következő állítást: 

15.6. Tétel. Legyen G egy álvéletlen-generátor; I(n) — 2n hossznövelő függ- 
vénnyel. Ekkor az f(x,y) — G(x), hi — lyl függvény (erősen) egyirányú. 
Bizonyítás: Először is megállapíthatjuk, hogy az álvéletlen-generátor, vala- 
mint az f függvény definíciója alapján az f függvény hatékonyan kiszámít- 
ható. 

Indirekt bizonyításul tegyük fel, hogy f nem egyirányú, azaz létezik egy Z 
algoritmus, valamint egy p(n) polinom, hogy Z algoritmus f(U2n) bemenet- 
tel végtelen sok n esetén, legalább 1/p(n) sikervalószínűséggel képes őské- 
pet kiszámítani, azaz Prf f(Z(f(U2n))) — f(U2n)) 2 1/p(n) ezen n értékek 
esetén. Ennek alapján redukciós technikával konstruálunk egy Z" megkülön- 
böztető algoritmust, amely ezen n értékeknél megkülönbözteti Uzn és G(U,) 
valószínűségi változókat. Tekintsük a következő algoritmust: 

15.1. Algoritmus. 
1. Z" bemenete a € (Un, G(Un) b, 
2. Z" futtatja Z algoritmust cz bemenettel: 

ha f(Z(a)) — a, akkor Z" kimenete 1, 

ha f(Z(a)) A a, akkor Z" kimenete 0. 


Mivel f(Un) — f(Un, Un) — G(Un), ezért — indirekt feltételezésünk alapján 
— valamely p(n) polinomra és végtelen sok n értékre Pr(Z"(G(U,)) — 1) 2 
1/p(n). Az f függvény a 2n bites sorozatok terében egy legfeljebb 2" mé- 
retű részhalmazra képez. Innen következik, hogy tetszőleges invertáló algo- 
ritmus, amelynek a bemenetére U2n érkezik (c — Unn eset), legfeljebb 27" 
valószínűséggel lehet sikeres, azaz akkor, ha Un, realizációja a (G(x),x € 
(0, 1") halmazba esik. Összegezve az eddigieket, valamely p(n) polinomra 
és végtelen sok n értékre kapjuk, hogy 


IP(ZT(G(Un)) —14—PH(Z (Un) — 112 1/P(m—2" 2 1/2p(n)) 


ami ellentmond annak, hogy G álvéletlen-generátor. c 
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15.2.  Álvéletlen-generátor konstrukció 


Az 1 bittel hossznövelő álvéletlen-generátor konstrukciója a keménybittel 
növeli meg egy egyirányú permutáció kimenetét. Az álvéletlen-generátort az 
alábbi tétel mondja ki: 

15.7. Tétel (Blum-Micali-Yao-konstrukció). Legyen az f erősen egyirányú 
permutáció. Legyen b az f keménybit leképezése. A G(s) — [f(5),b(5)) leké- 
Pezéssel álvéletlen-generátort kapunk. 

Bizonyítás: Ismét a redukciós technikát alkalmazzuk. Indirekt feltételezéssel 
tegyük fel, hogy létezik Z megkülönböztető algoritmus, azaz létezik p(n) 
polinom, hogy végtelen sok n értékre 

IPH(Z(G(U,)) —19— Pr(Z(U 1) — 112 1/p(n). 


Konstruálunk egy olyan hatékony Z" algoritmust, amely sikeresen képes pre- 
dikálni a b(U,) keménybitet f(U,) alapján. Innen a 15.3. tétel figyelembe 
vételével már igazolt a tétel. 


15.2. Algoritmus. 
1. Z" bemenete y — f(Un), 
2. Z" sorsol egy véletlen c bitet, 


3. Z" futtatja Z algoritmust [y, c] bemenettel: 
ha Z([y, 0]) — 1, akkor Z" kimenete c 
ha Z([y, ]) — 0, akkor Z" kimenete 6. 


Az alábbiakban valószínűségszámítási lépésekkel el fogunk jutni a 
PH(Z(f(Un)) — b(U,)) 2 1/24-1/p(n) 

alsó becslésig, ami a keménybit nem elhanyagolhatóan sikeres becslését, s 
a konstrukció alapján egyúttal a generátor kimenetének predikálhatóságát is 
jelentené. A főbb lépések a következők: 

PH(Z(f(U)) — b(Un)) — 

— Pr(o — (Un) )-PA(Z(f(Un)) — P(Un)I o — b(Un)) 

4 Pr(o 7 D(Un))  PE(ZT(f(Un)) — B(Un)I o 7 b(Un)) 

2 Ti 
A 1/2- [P(Z[7(U), b(Un)] — 144 1— PK(Z[f(Un),B(Un)] — 1] 
3) 
2 1/2-- PHZ(G(U)) —13—PHZ(Ua 41) — 19) 
2 1/241/p(n), 
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ahol 2 illetve — 2 2 egyenlőségek magyarázata a következő: 


A a egyenlőségnél a 


Pr(Z(f(Un)) — P(Un)lo — b(Un)) — 
7 Pr(Z(f(Un)) — olo —b(U)) 

É PAZ[F(U), 01 — 110 —b(U)) 

— Pr(Z[f(U.),P(U,)]— 1lo —b(Un)) 
— Pr(ZI[f(Un),B(Un)]J— 1). 


ahol 8 egyenlőség a Z" algoritmus konstrukciója alapján látható: (Z(y, 0) — 
1) — (Z1() — 9), (2040) —0) — (714) — 5), illetve 

Pr(Z"(f(U)) —b(Un)lo A b(Un)) — 

— P(Z(f(Un)) — öle 7 b(Un)? 

— PZ[/(U.), 01 —Olo — (Un) 

— P(Z[/(U.),B(U.)]— 0lo — B(Un)? 

— Pr(ZI/(Un),B(Un)]— 0) 

— 1-PKZ[[(U,) P(UJ] — 1). 


A 2 egyenlőségnél a 

Pr(Z(U1) — 1) — 

— 1/2 [P(Z[/(U), P(Un)] — 1) PZ[/(U),B(U)1— 14] 
összefüggést használtuk, valamint figyelembe vettük, hogy f permutáció, s 
így Una és [f(U.), U1] valószínűségi változók azonos eloszlásúak. oO 
15.3. Feladatok 
15.1. Feladat. Igazoljuk, hogy 


1. az álvéletlenség implikálja a predikálhatatlanságot, és 
2. a predikálhatatlanság iimplikálja az álvéletlenséget! 


15.2. Feladat. Igazoljuk, hogy az álvéletlen-generátor kimenete nem lehet 
valódi véletlen! 
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15.3. Feladat. Mutassunk konstrukciót arra az esetre, amikor 

1. egy PRG (álvéletlen-generátor) egy-egy értelmű leképezés, 

2. egy PRG különböző bemeneti értéket (különböző magot) azonos kime- 
netbe (álvéletlen sorozatba) képez le! 


15.4. Feladat. Tegyük fel, hogy (G(U,) nen ÉS (Un(n) hnev algoritmikusan 
megkülönböztethetetlenek. Bizonyítsuk be, hogy G(U,) bithossza elhanya- 
golhatóan kicsi valószínűséggel nem h(n), azaz Pr(IG(Un)! A h(n)) valószí- 
nűség elhanyagolható (n-ben)! 


15.5. Feladat. A keménybittel hossznövelő PRG konstrukciójánál az f egy- 
irányú függvény f(s) kimenete végéhez toldjuk a b(s) keménybitet, azaz 
[/(5),b(5)] a PRG kimenete. Igazoljuk, hogy ha [(5(5), f(5)) a generátor ki- 
menete, szintén PRG-t kapunk! 


15.6. Feladat. Legyen G egy PRG, továbbá A egy polinomiális időben szá- 
mítható permutáció. Igazoljuk, hogy ekkor G"(s) — G(h(5)), illetve G"(s) — 
h(G(5)) is PRG! 


15.7. Feladat. Legyen G egy PRG I(n) — n 4-1 hossznöveléssel. Legyen 
G"(5) az a leképezés, amelyet G p(Is]) számú iteratív alkalmazásával nyer- 
tünk: 


G"(s5) — GP (5) 

G9(3)— s, GW(5) — G(C(GY(5))), 
ahol C csonkoló leképezés az n-t 1 bites argumentuma n bitjét veszi rögzített 
n pozíción (azaz 1 bitet elhagyunk). Igazoljuk, hogy G"(s) is PRG! 


15.8. Feladat. Legyen G egy PRG, amelyre IG(w)I — Iwl?, vw e (0,1p" 
(azaz négyzetesen hossznövelő). Használjuk ezen PRG-t kulcsfolyam-ge- 
nerátorként szimmetrikus kulcsú rejtjelezésben a szokásos mod 2 összegző 
módon. Lehetséges-e, hogy egy Z támadó felmutat mg,mi üzenetpárt, ahol 
az üzenetek n? bit hosszúak, s amelyre 


IPr(Z(G(Un) € mo) — 14—PH(Z(G(Un) Em) — 1412 1/9(n), 


azaz a kapcsolatos rejtjeles szövegek megkülönböztethetők? 
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15.9. Feladat. Igazoljuk, hogy egyirányú függvény akkor és csak akkor lé- 
tezik, ha létezik randomizált polinom idejű algoritmusok B(I") és C(1") 
párja, amelyek n-bites kimenetre képeznek, továbbá kimeneti eloszlásuk po- 
Tinomiálisan megkülönböztethetetlen, valamint kimeneti halmazaik metszete 
legfeljebb 2"7/? elemet tartalmaz! (B(1"), C(1") jelölés értelme a következő: 
B és C algoritmusok 1" bemenetet kapnak, belül véletlen elemeket sorsolnak, 
számításokat végeznek és kiadnak egy-egy kimenetet, azaz kimenetük való- 
színűségi változó. Amikor B(I"), C(1") eloszlásról beszélünk, akkor ezen 
valószínűségi változók eloszlását értjük alatta.) 

Az állítás informálisabb megfogalmazása: Egyirányú függvény akkor és 
csak akkor létezik, ha létezik két hatékonyan mintavételezhető eloszlás, lé- 
nyegében diszjunkt tartóval, amelyek polinomiálisan nem megkülönböztet- 
hetők egymástól. 


16. 


Álvéletlen függvény, álvéletlen permutáció 


A véletlen függvény és a véletlen permutáció végtelen erőforrás melletti 
ideális primitívek (lenyomatképzés, szimmetrikus kulcsú blokkrejtjelezés) 
matematikai modelljei. Ezen ideális objektumok hatékony változatai az ál- 
véletlen függvény és az álvéletlen permutáció, amelyeket polinom erőforrás- 
korlát mellett tudunk generálni, ugyanakkor egy ugyancsak polinom erőfor- 
rás-korlátú támadó nem tud az ideálistól megkülönböztetni. Ezen álvélet- 
len függvények a valós (implementálható) primitívek erőforrás-megszorítás 
melletti idealizált modelljei. 

Szimmetrikus kulcsú rejtjelezés esetén a két fél megegyezik egy titkos 
kulcsban, amellyel transzformációk egy nagy halmazából egyet választanak. 
Ezen megoldás előnye, hogy egy véletlenül választott kisméretű közös tit- 
kot kell csak megosztaniuk. Ideális esetben a két fél egy közös (egyenletes 
eloszlású) véletlen függvényt birtokolna. A véletlen függvény előnye, hogy 
ideálisan biztonságos algoritmusokat lehetne rá építeni, anélkül, hogy egy 
támadó erőforrására korlátozást kellene tennünk, továbbá — technikailag — 
viszonylag könnyen tudnánk felső becslést adni a támadó sikervalószínűsé- 
gére. Sajnos ez nem valósítható meg a gyakorlatban, mivel bemenet-kimenet 
dimenzió megkötésnek eleget tevő összes függvények halmaza olyan nagy, 
hogy még csak meg sem tudnánk — hatékonyan — címezni az elemeit. 

Ugyanakkor bizonyítástechnikai elemként használhatjuk a véletlen függ- 
vényt a következőképp: orákulumként működtetjük, azaz ha egy kérést kül- 
dünk ezen orákulumnak, az azonnal visszaadja válaszként a kérés véletlen 
függvény szerinti leképezését. Ha ezen orákulum-modellben tudunk konst- 
ruálni egy biztonságos, és ezen orákulum-modellben polinom idejű algorit- 


398 
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must, akkor helyettesítve az orákulumot egy álvéletlen függvénnyel, az algo- 
ritmusunk biztonsága nem változik, feltéve, hogy a támadó erőforrását ezen 
álvéletlen függvény definíciója szerint korlátozzuk. 

Az álvéletlen függvény egy másik szempontú megközelítése a közvetlen 
címzésű véletlen blokk generálás, szemben a soros elérésű álvéletlen-gene- 
rátorral. Az álvéletlen-generátorral egy n bites valódi véletlen magot bizton- 
ságosan (tőle hatékony algoritmussal megkülönböztethetetlenül) ki tudtunk 
nyújtani n-ben polinom hosszúságú álvéletlen sorozatra. Ez a fajta álvélet- 
len-generálás azonban nem illeszkedik olyan felhasználásokhoz, amelynél 
egy algoritmus futása során több ponton is ugyanazon véletlen bitsorozatot 
szeretnénk megcímezni. Ehhez egy álvéletlen függvény lenne jó, amely azo- 
nos bemenetre azonos kimenetet ad, míg különböző bemenetekre különböző 
álvéletlen kimeneteket. Elvileg ez a feladat megoldható lenne PRG felhasz- 
nálásával is, csakhogy ehhez (a soros generálás miatt) tárolni kellene a teljes 
álvéletlen sorozatot, hogy annak a címzéssel meghatározott szeletét vehes- 
sük. Ugyanezen feladatot véletlen függvénnyel az n bites véletlen mag táro- 
lási költségén meg tudjuk oldani. 


16.1. Véletlen függvény, álvéletlen függvény 


16.1. Definíció (véletlen függvény). F, véletlen függvény egy olyan valószí- 
nűségi változó, amelynek minden lehetséges értéke egy n bitből n bitbe ké- 
pező függvény. Ha ezen valószínűségi változó eloszlása egyenletes, akkor 
egyenletes eloszlású véletlen függvényről beszélünk, s ekkor a Hn jelölést 
használjuk. 


Szokásosan, véletlen függvény alatt az egyenletes eloszlású véletlen függ- 
vényt (H,) értjük. 


16.2. Definíció (véletlen függvények együttese). Az F,, véletlen függvények 
F — (F.)nen halmazát véletlen függvények együttesének nevezzük. 


A továbbiakban H — (H,a)nen jelöli az egyenletes eloszlású véletlen függ- 
vények együttesét. 

Álvéletlen függvények együttesének tagjai dimenzióban megegyeznek a 
megfelelő egyenletes eloszlású véletlen függvények együttesének tagjaival, 
de hatékonyan generálhatók, s az együttes hatékony algoritmussal attól nem 
különböztethető meg. Formálisan: 
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16.3. Definíció (álvéletlen függvények együttese). F — (F.)nen álvéletlen 
függvények együttese, ha tetszőleges randomizált, polinom idejű Z oráku- 
lumos algoritmus, tetszőleges p(n) polinom és KÉRÉSE nagy n esetén 
IPr(ZF (17) —1)—PK(ZF(179) — 1] c — §T j (16.1) 

A jelölés egyszerűsítése kedvéért az álvéletlen függvény jelölésében meg- 
tartottuk az F, jelölést, ugyanis az álvéletlen függvény egy speciális vélet- 
len függvény (ti. a véletlen függvény definíciójában nem tettünk erőforrás- 
megkötést). j 

A véletlen permutáció, a véletlen permutációk együttese, valamint az ál- 
véletlen permutációk együttese a megfelelő, függvényre szóló definíciók — 
értelemszerű — speciális esetei. Két vonatkozásban azonban finomodnak a 
kapcsolatos definíciók: a hatékony kiszámítás függvény-együttesekre vonat- 
kozó definíciója mellett a permutáció-együttesek esetén a hatékony kiszá- 
mítás és hatékony invertálás definícióvá bővíthető, amely egy erősebb — de 
a gyakorlati szempontból természetes — megkötést jelent. További modell- 
finomítással jutunk az erősen álvéletlen permutáció-együttes fogalmához, 
amelynek definíciója annyiban bővül, hogy az orákulumos algoritmus az in- 
vertáló orákulumhoz is hozzáfér, mégsem képes megkülönböztetésre, s en- 
nek megfelelően (16.1) egyenlőtlenség az alábbi alakot ölti: 


IPe(zétt (19) —1)—Prfztetr (19) — 1) c — (16.2) 


at: 

Az álvéletlen függvényekre röviden a PRF (PseudoRandom Function), 
az álvéletlen permutációkra röviden a PRP (PseudoRandom Permutation) 
megnevezést is használni fogjuk. 


16.2.  Álvéletlen függvény konstrukció 


Legyen G egy kétszeresen hossznövelő (I(n) — 2n) álvéletlen-generátor. Az 
x — (x,...,xn) € (0,1)" argumentum esetén definiáljuk az f; : (0,1)" c 
10,1y" függvény értékét az alábbi módon (16.1. ábra): 


falka: s3a) -G(...(G(G (5). ..). (16.3) 


ahol, s € (0,1)", továbbá Go(.) és G1(.) a G kimenetének bal élletve jobb 
fele. Azaz az x bemenet bitjeinek megfelelően, G kimenetének a jobb vagy 
a bal felét választjuk, s a választott fél lesz G következő bemenete. 
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150) 


16.1. ábra. .PRF konstrukció 


16.4. Tétel. A (16.3) konstrukció szerinti f függvény egyenletes eloszlás sze- 
rint véletlenszerűen választott s bemenettel F — (F, nen álvéletlen függ- 
vényegyüttest eredményez, ahol F, — f;. 

Bizonyítás: Először is megállapíthatjuk, hogy F hatékonyan kiszámítható. F 
álvéletlenségének bizonyításához a hibrid technikát alkalmazzuk: 

A Ht, 0 £ k £ n hibrideket a következőképp definiáljuk: 


ke0:HzR, 

kzn:H"-H, : 
e yt — 

1£kcan:H —80 ue 


ahol 
Bzassza ELX) — Gr... (Gr 2 (Gr (Z.-t); 


továbbá h : (0,1)" — (1,...,2") leképezés a k bites bemenetet egy egész 
szám bináris ábrázolásának tekinti, s azon egész szám eggyel növelt érté- 
kébe képezi le. A 0-dik hibrid F,, azaz a (16.3) szerinti álvéletlen függ- 
vény, az n-edik hibrid az egyenletes eloszlású véletlen függvény, H,. A1c 
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k c n esetben az x argumentum xi, ...,xx bitjei alapján h leképezéssel ki- 
választjuk az U/?, n biten egyenletes eloszlású valószínűségi változót, ahol 
h(xi,. . .,xk) — i. Ez a magja annak a (16.3) formulához hasonló struktúrájú 
 leképezésnek, ahol a G transzformációt (n— k)-szor alkalmazzuk. 

A levezetés logikája a következő lesz: a G álvéletlen-generátor kimeneté- 
nek egyenletes eloszlástól való megkülönböztetését redukáljuk a szomszédos 
hibridek megkülönböztetésére. Továbbá belátjuk, hogy az extrém hibridek 
(k — 0, k — n) megkülönböztetésének képességéből a (k-ban) szomszédos 
hibridek megkülönböztetésének képessége következik. Ha tehát — indirekt 
feltételezés szerint — a (16.3) konstrukció nem vezet álvéletlen együttesre, 
s így az extrém hibridek megkülönböztethetők, akkor a szomszédos hib- 
ridek is megkülönböztethetők, s ezáltal a szomszédos hibridekre redukált 
G álvéletlen-generátor kimenet megkülönböztethetőségének feladata is si- 
kerrel végrehajtható. Ezen utóbbi végkövetkeztetés viszont ellentmond téte- 
lünk feltételének, következésképp (16.3) konstrukció valóban egy álvéletlen 
együttesre vezet. 

Tegyük fel tehát, hogy létezik egy randomizált, polinom-idejű Z orákulu- 
mos algoritmus és tetszőleges p(n) polinom, hogy SZÉRE sok 2 -re 


IPR(ZE(1) —1)—Prízée(1") — 115 — (16.4) 


Ft ny 


Legyen t(n) polinom Z erőforráskorlátja. Következésképp t(n) korlátot je- 
lent a Z orákulum-kéréseinek darabszámára is. A Z álvéletlen függvény meg- 
különböztető algoritmusra redukáljuk az álvéletlen-generátor megkülönböz- 
tetési feladatot a következő módon: 


16.1. Algoritmus. 
1. Z" álvéletlen-generátor megkülönböztető algoritmus bemenetére cz — (01 , 
..0rm), ai € (0,1)?" vektor érkezik, amely c() — (G(uD),... , 
Gut) vagy a0) — (u), ..., UL) 1/2 - 1/2 valószínűséggel. 
2. Z" kisorsol egy K € (0, Séta — 1) értéket véletlenszerűen. 


3. Z" futtatja Z orákulumos algoritmust, s amikor az a j-edik orákulum- 
kérést, gj € (0,1)" küldi, Z" a következő választ adja rá (szimulálja) 


Aj Gajnr (re (Gy xs2 (Gay rxs KOtj (gy) 2); (16.5) 


ahol j £ t(n), gj — (jo. 5djn-1), továbbá cx — (cr,oy, 01) az oj 
két n-bites felére bontása. 
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4. Z" kimenete — Z kimenete. 


(16.5) alapján látható, hogy ha a — a-(), akkor A ; eloszlása HX(gj,o,.. ., 
djn-1) eloszlásával, míg ha az — cr(0), akkor A; eloszlása HEtU(gjo,..., 
djn-1) eloszlásával egyezik meg. Következésképpen a Z" bemenetétől füg- 
gően, Z nézőpontjából a (16.4) formula szerinti F,, helyén HX hibrid vagy 
HEY hibrid áll, vagyis: 





Pr(ZG(U), ... GY] — 1 — 4) — PRIZE (1) — 1) 


Pr(Z(UD, ... UO] — ik k)—PR(ZT (19) — 1). 


A fentieket felhasználva 


IPR(Z IG)... G(UO)] — 1) —Pr(zUD), .. . Un] — 1] — 


n 


- ns Pr(Z"IG(U), ... GUN] — 1x—k) 
k—0 


n—I 
—1 YP(ZTU,..., UA) — Ir — kg] 
k-0 


- ES pr") -1j- VSeeztt an -1] 
k-0 k-0 


— UP(ZA (1) —1)—P(Z (17) — 11 
1 
 npln)" 


v 





amivel ellentmondásra jutottunk. 8. a 


16.3. Álvéletlen permutáció konstrukció 


A Feistel-féle rétegekből felépülő struktúra az alapja az alábbiakban bemu- 
tatásra kerülő álvéletlen permutáció konstrukciónak. A Feistel-rétegezés ga- 
rantálja, hogy permutációt kapunk. Tekintsük először a 16.2. ábra két réteg- 
ből álló DESB, mini-DES struktúráját. A DES f leképezését, rétegenként 
független, egyenletes eloszlású véletlen függvénnyel helyettesítettük. Elő- 
ször belátjuk, hogy két Feistel-réteggel nem képezhető PRP. 


16.5. Tétel. A DES, nem PRP. 
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16.2. ábra. DES, leképezés 


Bizonyítás: A rövidség kedvéért legyen F — DESf, . Ezen F : (0, 1" o 
(0,1)" leképezés az alábbi: 


Fe uo (LR) — (LE HHR) RE HELO HR), 


ahol 4 és HD (0,1y" — (0,1)" egyenletes eloszlású véletlen függvé- 
nyek, amelyeket tekinthetünk az eredeti DES transzformáció f leképezése 
idealizált modelljének. 

ZF" megkülönböztető támadó hozzáfér egy F" orákulumhoz, amely orá- 
kulum 1/2 valószínűséggel F vagy Hon leképezés szerint működik. A tá- 
madó az orákulumnak xi — (Li, R), illetve xz — (L2,R) kérést küldi, ahol 
La — L1 € w. Könnyen ellenőrizhető, hogy ha F" — F, továbbá Ft(xr) — 
(Ui, V1), Ft(x2) — (U2, V2), akkor U2 — UL E w. 

Ennek alapján Z" — 1, ha Ft(xi) 6Ft(x2) — (w,.), és Z7" — 0, egyéb- 
ként. Mivel Pr(H2.(x1) e Han(x2) — (w, )) — 27, ezért F és Hon megkü- 
lönböztetési valószínűsége 1— 27". Ím 

Ha azonban a 16.2. ábra szerinti konstrukciót 3 rétegűre bővítjük, akkor a 


kapott DESB, : (017 — (0,1y?" transzformáció már álvéletlen permutá- 
ció lesz (16.3. ábra). 
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16.3. ábra. DES? leképezés 


16.6. Tétel. A DES?, PRP. 


Bizonyítás: Azt kell belátni, hogy egy hatékony támadó a DES), : (0,1)7 o 
(0,1y" leképezést a Hon : (0, 1?" — (0, 1)" leképezéstől csak elhanyagol- 
ható valószínűséggel képes megkülönböztetni (a (16.1) formula értelmében). 
Jelölje g az orákulum-kérések számát, amit Z"" megkülönböztető támadó az 
F" orákulumhoz küld, amely orákulum 1/2 valószínűséggel DES, vagy 
Hon leképezés szerint működik. 

Tekintsük a 16.3. ábrát, s legyen B a következő esemény: az S; — Sj vagy 
T; — Tj valamely I £i c j S a kérés-párra. A B komplemens esemény: 
S; 7 §j és T; A Tj minden 1 £ i C j £ g kérés-párra. Vegyük észre, hogy B 
feltétel mellett U; és 7; (V;), 1 £ i £ ag független, egyenletes eloszlású valószí- 
nűségi változók. Következésképpen B feltétel mellett nem megkülönböztet- 
hető Z"" számára az, ha DES, leképezés helyett H2n leképezés szerint kapta 
volna a válaszokat kéréseire: ugyanis Ho és Ho valódi véletlen leképezé- 
sek kimenete one-time-pad kulcs jelleggel véletleníti a kimeneti blokkokat. 
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Innen már , csak" technikai lépések következnek: 


Pr(B) £ XY (PS; — Sj)--Pr(1— 7) £2- 6) 27 £4/7. 
izj 

Így a d,(D,D") £ d.(DIE, DE) 4- P(E) egyenlőtlenség felhasználásával, 
ahol E—B,t —g,D a ZPESiw kimenet-eloszlása, továbbá D" a Ze kimenet- 
eloszlása: 

IPrfzPESin 7 1)—P(zte c 1] S 

s IPr(ZPFSin — 118) — Pr(zf2r — 1(B)1-4-Pr(B) 

— l0l--Pr(8) S €/2. 
Tehát DES, álvéletlen permutáció: a megkülönböztethetőség g(n) polinom 
kérésszámkorlát mellett: paraméterrel exponenciálisan gyorsan (így bár- 
mely polinom reciprokánál gyorsabban) csökken, s így elhanyagolható. CI 

A DES), konstrukció véletlen függvényt használ, azaz nem hatékony ge- 
nerálású. Kérdés, mi történik, ha F/? : (0, 1)" — (0,1y, 1— 1,2, 3 álvéletlen 
függvényekkel helyettesítjük a H) : (0,1y" — (0,1)", i— 1,2,3 egyenletes 
eloszlású véletlen függvényeket. Szerencsére továbbra is álvéletlen permu- 
tációt kapunk (lásd a 16.4. feladatot). Ugyanakkor a DES, (DES) leképe- 
zés még nem erős álvéletlen permutáció, azaz ha az inverz orákulumhoz is 
hozzáfér a támadó, akkor nem elhanyagolható sikerrel a 3-rétegű mini-DES 
konstrukciót képes megkülönböztetni a H2n leképezéstől. 

16.7. Tétel. A DES, nem erős PRP. 
Bizonyítás: A támadás logikája rokon a 2-rétegű DES támadással, itt is be- 
menetblokkok differenciáival ügyeskedünk: 

A rövidség kedvéért legyen F — DESZ, o továbbá a Z megkülönböztető tá- 
madó F" orákulumnak, iletve F" inverzének küldhet kéréseket, ahol F" 1/2 
valószínűséggel F vagy Hon leképezés szerint működik. Legyen F(L,R) — 
(U,V). Továbbá legyen w1, w2, wz € (0,1)" olyan, hogy F(LE wi Ew3, RE 
w2) — (U",V"), amelyre U"— U € wi, V" — V teljesüljön. Ezen megkötés a 
w1, w2, wz hármasra is megkötést eredményez: a 16.3. ábra jelútjait követve 

— (LE mow) o HÜ(ROw) eHÖNV?) 
-UEewi 
— ILEHER) E HÖVÍ]E w, 
ahonnan egyszerűsítés után a w2 és wz között az alábbi összefüggés adódik: 
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wz — HD (R) EHD(RE wa). (16.6) 
Tekintsük most az (LE w3,RE w2) bemenetet F számára, s jelölje a kime- 
netet (U1, Vi). (16.6) felhasználásával 
V.—REw E HOLE wz e HIRE wa)) 
-ROEHALOHÜ(R)) 6 wa 
7-V Ewa. 
A könnyebb áttekinthetőség kedvéért a 16.1. táblázatban összefoglaltuk az 


F" orákulumhoz küldött három kérést (bemenet blokkot), valamint F" orá- 
kulum válaszát (kimenet blokkot), azon esetben, amikor F" — F. 




















F" kérés F" válasz ) összefüggés 

(LR) (UV) 

(LEw Ew3,ROw2) [ (UV) ]U-UOm,VI-V 
(LEw3.REw?) (UV) VI. -V. Ew2 





16.1. táblázat. DES7,, támadása 


Z támadó ismerve a a 16.1. táblázatbeli összefüggéseket, először a kime- 
net felől támad: 

A támadó F" — F feltételezéssel él, s próbálja ezt megerősíteni vagy meg- 
cáfolni, A támadó az F" invertáló orákulumának ad bemenetként egyrészt 
egy (U,V) blokkot, másrészt egy tetszőlegesen választott wi € (0, 1)" mel- 
lett az (U € wi, V) blokkot, amelyekre — az F" — F feltételezés mellett — az 
invertáló orákulum válaszként az (L, R) illetve az (LEwi €w3, RE w2) blok- 
kot küldi. Ezen két válaszblokk alapján a támadó már tudja w2 és w3 értékét. 

A támadó most az F" orákulumnak elküldi az (LE w3, RE w2) bemenetet. 
Az arra kapott válasz alapján a támadó az alábbi megkülönböztető döntést 
hozza: ha Ft(LE w3,R E w2) — (-,V € w2), akkor Z kimenete 1 (Ft — F 
mellett dönt), egyébként Z kimenete 0 (F" — H2,, mellett dönt). 

Ha F" — H?,, akkor a különböző bemenetekhez tartozó kimenetek füg- 
getlen egyenletes eloszlású valószínűségi változók, következésképp a fenti 
döntés megkülönböztető ereje 1 — 27". Ím] 


A fenti technikákkal az is megmutatható, hogy DESÍ. viszont már erős 
álvéletlen permutáció. 
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16.4. PRF alkalmazás példák 


Kihívás-válasz alapú partnerazonosítás. A és B fél megegyeznek egy közös 
k kulcsban. A fél szeretné a távoli B felet azonosítani, s ehhez generál egy 
véletlen r elemet egy PRF függvény együttes f4(.) tagjának ősképteréből, 
s elküldi kihívásként B félnek, aki alkalmazza rá a közös titkos függvényt, 
majd az eredményt válaszként visszaküldi A félnek: 

(0) ABB: r 

(2) B.6A: fi(r) 


Szimmetrikus kulcsú rejtjelezés. A és B fél megegyeznek egy közös k kulcs- 
ban. A fél szeretne a távoli B félnek egy m üzenetet rejtjelezetten továbbítani. 
Ezt a következőképp teszi: 


Ex(m) — (r.f(r) Em). 
A PRF továbbá kriptográfiai hash függvény modellezésére is alkalmas 
(16.6. feladat). 
16.5. Feladatok 


16.1. Feladat. Igazoljuk ellenpéldával, hogy miért nem helyes az alábbi de- 
finíció egy PRF-re: F,, egy PRF, ha létezik MF: polinom idejű orákulumos 
algoritmus, ami az alábbi pontossággal képes becsülni az Fn kimenetét 


PAM(U) — EMU) c zrt 


tetszőleges p(n) polinomra, s elegendően nagy n-re (M természetesen nem 
küldheti saját bemenetét kérésként az Fn orákulumhoz). 


16.2. Feladat. Igazoljuk ellenpéldával, hogy miért nem helyes az alábbi al- 
ternatív konstrukció PRF-re: 


I) — Go... (Go(Go(2)) - -.), 


ahol s — 01 .. . 0. Azaz x és s szerepe felcserélésre került a standard konst- 
rukcióhoz képest. 
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16.3. Feladat. Zárakat gyártunk, amelyeken olvasható az N azonosító szám, 
míg a zár W kombinációját titkosan kell kezeljük. A kombinációt egy n bites 
szó azonosítja. Hogyan járjunk el a W kombináció megválasztásánál, ha a 
feltételek a következők: 


m az nyilvános azonosító alapján ne legyen kitalálható, 
m ha az ügyfél a kombinációt később elfelejti, azt közölnünk kell tudni vele, 


m minimalizálni szeretnénk a (sorozatszám, kombináció) párokkal kapcso- 
latos biztonsági tárolási igényt, 


ha 
1. élhetünk az egyirányú függvények létezésének feltételezésével 


2. az ügyfelek hipohonderek, félnek, hogy esetleg kiderül, hogy P — NP, 
ezért csak feltétel nélküli biztonság garantálását fogadják el. 


16.4. Feladat. Bizonyítsuk be, hogy ha a DESZ, konstrukcióban álvéletlen 
fügvényeket használunk, akkor is álvéletlen permutációra jutunk! 


16.5. Feladat. A csapda permutáció lényegében egy egyirányú permutáció. 
Mint egy nyilvános kulcsú rejtjelező modellje, a csapda permutáció tulaj- 
donság garantálja a választott nyílt szövegű támadás elleni védettséget (nyil- 
vános kulcs ismeretében orákulum nélkül is tudunk választott nyílt szövegű 
támadást indítani). Igazoljuk, hogy amennyiben létezik (G, F,T) csapda per- 
mutáció, akkor létezik erős álvéletlen permutáció is. 

Informálisan: ha létezik választott nyílt szövegű támadásra biztonságos 
nyilvános kulcsú rejtjelező, akkor létezik választott rejtett szövegű támadásra 
biztonságos szimmetrikus kulcsú rejtjelező is. 

Segítség: A feladat összetett, ezért megoldási segítséget adunk hozzá. A 
biztonságos csapda permutáció léte implikálja az egyirányú függvény léte- 
zését. Egyirányú függvényből kiindulva viszont konstruálható álvéletlen per- 
mutáció, s így létezik olyan E(k,x) algoritmus, amely k véletlen választása 
mellett álvéletlen permutáció az x bemenet vonatkozásában. Jelölje D(k,x) a 
kapcsolatos inverzet. Ezen (E, D) álvéletlen permutáció és a (G, F,T) csapda 
permutáció kaszkádba kötésével generáljuk a kívánt (G", F",1") permutációt. 
(G, FI) csapda permutáció esetén F(pk,x) a kódoló és I(sk,y) a dekódoló 
transzformáció. (G", F" 1") permutáció esetén F"((k, pk), x) — E(k, F(pk,x)) 
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a kódoló és I"((k, sk) ,z) — I(sk, D(k, z)) a dekódoló transzformáció, azaz 


F!":x— F(pk,.) — E(k,.) ez 
T :z 5 D(k,.) — I(sk,.) C x. 


Továbbá G" generálja (k, pk, sk) kulcshármast, ahol a (pk, sk) párt G felhasz- 
nálásával, míg k kulcsot véletlenszerűen választva állítja elő. 

Igazoljuk tehát, hogy a fenti módon generált (G",F",1") álvéletlen per- 
mutáció és csapda permutáció is egyben! 


16.6. Feladat". Vizsgálja meg a véletlen függvény, illetve a PRF által mo- 
dellezett kriptográfiai hash függvény tulajdonságait egyirányúság, illetve üt- 
közésmentesség vonatkozásban. 


17. 


Szimmetrikus kulcsú rejtjelező leképezés 
modelljei 


A hatékonyan kiszámítható függvényegyüttes definíciója magában foglalja 
a hatékony indexelést, valamint a kiválasztott függvény hatékony kiértéke- 
lését argumentuma bármely elemére. A szimmetrikus kulcsú rejtjelezés ese- 
tén az indexelés természetes módon adódik: a biztonsági paramétert indexbe 
képező ! algoritmus az I(17) — K kulcs kisorsolást, míg az indexet tagfügg- 
vénybe képező p algoritmus a p(K) — Ex rejtjelező függvény hozzárende- 
lést végzi. 

Az álvéletlen függvény, valamint álvéletlen permutáció szimmetrikus kul- 
csú blokkrejtjelező transzformációk és kriptográfiai hash függvények mo- 
delljei. Az álvéletlen leképezések együtteseinek eddigi definícióiban els ősor- 
ban az n biztonsági paraméter növekedése melletti aszimptotikus megkülön- 
böztethetetlenségre koncentráltunk. Konkrét rejtjelező transzformációk vizs- 
gálatánál azonban nagyon fontos lenne rögzített erőforráskorlátok mellett 
analizálni azok biztonságát. 

Ehhez először definiálni kell azt, hogy mit értünk egy rejtjelezés bizton- 
ságosságán. Első pillantásra talán egyszerűnek tűnhet a biztonságosság meg- 
határozása, de kicsit utánagondolva rájöhetünk, hogy ez nem is egyszerű fel- 
adat. Mondhatnánk például azt, hogy az a rejtjelező transzformáció bizton- 
ságos, amelynek kulcsát a támadó nem képes megismerni (kiszámolni). Saj- 
nos, egy blokk-kódoló kulcsfejtés elleni biztonsága nem elégséges feltétele a 
kódoló biztonságának. Triviálisnak tűnő példa erre a következő: legyen a kó- 
doló transzformáció a helybenhagyás: Ex(x) — x, azaz amikor végül is nem 
kódolunk. Ez a kódoló nyilván használhatatlan rejtjelezésre, ugyanakkor a 
támadó semmilyen módon nem képes a kulcsot meghatározni. Gondolhat- 
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nánk például arra is, hogy a támadó ne tudja rekonstruálni a nyílt szöveget. 
De mi a helyzet akkor, ha a teljes nyílt szöveg vonatkozásában erre ugyan 
nem képes a támadó, de a nyílt szöveg néhány bitjét mégis ki tudja deríteni, 
s ez utóbbi is hordoz érzékeny információt. 

Ebben a fejezetben , konkrét biztonság" megközelítésben a szimmetrikus 
kulcsú rejtjelezés kapcsán tekintjük át a biztonság definícióit. Ezen definí- 
ciók alapvetően két eloszlás megkülönböztetésére vonatkoznak. Számos pél- 
dával igyekszünk elmélyíteni a definíciók megértését. 

A szimmetrikus kulcsú rejtjelezéssel kapcsolatos biztonság definíciók kö- 
zül a következőket tekintjük: 


1. véletlen függvénytől (véletlen permutációtól) megkülönböztető támadás 
(prf- és prp-megkülönböztetés), 


2. kulcsfejtő támadás (kr, key recovery), 
3. nyílt szöveg visszafejtő támadás (pr, plaintext recovery), 


4. üzenet megkülönböztető támadás (/or-megkülönböztetés! ). 


17.1. Véletlen függvénytől megkülönböztetés 


A véletlen függvénytől megkülönböztetés kapcsán azt vizsgáljuk, hogy rejt- 
jelező függvények kulccsal indexelt együttese úgy viselkedik-e, mint egy ál- 
véletlen együttes, azaz (egyenletes eloszlású) véletlen függvények együttesé- 
től, a megkülönböztetés mértéke szerint, milyen mértékben különböznek. A 
konkrét biztonság megközelítés kapcsán az erőforrás paraméterek és a biz- 
tonsági paraméter minél pontosabb kifejezésével szeretnénk becsülni ezen 
megkülönböztetés mértéket. : 

Ahol nem okoz félreértést, az egyenletes eloszlású véletlen függvényt rö- 
viden véletlen függvénynek nevezzük. 

Annak érdekében, hogy könnyebben követhetők legyenek a biztonság fo- 
galmak az alkalmazásaik során, kissé részletesebbé tesszük a kapcsolatos 
megkülönböztetés formulák megjelenését. A kapcsolatos jelöléseket vélet- 
len függvénytől megkülönböztetés kapcsán mutatjuk be. 

Jelölje (prf — cpa— 1z(Z8) — 1) azt az eseményt, ahol 


1. Z a támadó (megkülönböztető) algoritmus, 


! left-or-right indistinguishability 
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2. Z támadó az E leképezést szeretné megkülönböztetni a megfelelő dimen- 
ziójú véletlen függvénytől, s erre utal a prf jelölés. (Véletlen permutáció- 
tól való megkülönböztetés esetén prp jelölést használunk.) 


3. Z támadó egy g orákulumnak küld kéréseket, ahol az orákulum a támadás 
kezdetén véletlen bináris döntést hoz, s vagy az E leképezés, vagy a vé- 
letlen függvény szerint adja meg a választ. Ha a kérések az orákulum által 
számolt leképezés bemenetét adják, akkor ez megfelel a szokásos válasz- 
tott nyílt szövegű támadásnak, ezért ezt az esetet cpa (chosen plaintext 
attack) rövidítéssel jelöljük. 

Hasonlóan, amikor a Z támadó az inverz leképezésekre is küldhet kérése- 
ket, az megfelel a választott rejtett szövegű támadásnak, amit a cca (cho- 
sen ciphertext attack) rövidítéssel jelölünk. 


4. prf—cpa—1 jelölésben az 1 szám azt jelzi, hogy az orákulum az E le- 
képezés szerint számol. Hasonlóan, a prf — cpa — 0 esetben az orákulum 
a véletlen leképezést futtatja. 


5. Az egyenlőség utáni 1 jelenti Z támadó döntését, azaz szerinte az oráku- 
lum az E leképezés szerint számol. 


Összefoglalóan tehát, a támadás-azonosító szerkezete a következő: táma- 
dás kódjele — orákulum hozzáférés típusa — kisorsolt leképezés 1/0 jele. El- 
ileg meg kellene jelölni még az erőforráskorlátot is, ezt azonban — az amúgy 
is összetett támadás-azonosítóból — fentebb elhagytuk, ugyanakkor az összes 
különböző támadó feletti megkülönböztető képesség kifejezésénél már jelöl- 
jük, ahogy az látható az alábbi definícióban is: 


17.1. Definíció (prf-megkülönböztetés). Z támadó prf megkülönböztető 
képessége a 





ART epa(7) — Pt(prf—cpa— 1p(2) — 1) 


33 (17.1) 
—Pr(prf—cpa— Op(2) — 1) 
differenciával, az E leképezés megkülönböztethetősége a 
ATP, ges He) — max Ap Pé(Z) 112) 


maximummal kerül defi niálásra, ahol (t,G., Me) jelöli a támadó erőforrás- 
korlátját, ahol 


1. t : futási idő, 
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2. ge: kódoló orákulumhoz küldött kérések száma, 
3. He: kódoló orákulum válaszainak összhossza. 


Megjegyzés: A (17.1) kifejezéssel kapcsolatban emlékeztetünk arra, hogy 
ezen differencia előjele mindig beállítható pozitívra, definálva egy olyan tá- 
madót, amelynek bináris kimenete az eredeti komplemense. A megkülön- 
böztetés ereje ugyanaz marad. 

Ha a támadó egy dekódoló orákulumhoz is hozzáfér (cca), akkor (t, ge, 
Me, da, Ha) jelöli a támadó erőforráskorlátját, ahol 


1. ga: a dekódoló orákulumhoz küldött kérések száma, 
2. Ha: a dekódoló orákulum válaszai összhossza. 


17.1. Példa. A születésnap paradoxon egy alkalmazása: 

Tekintsük most az E : (0, 1)" x (0,1)" — (0, 1" szimmetrikus kulcsú rejtje- 
lezést mint kulccsal indexelt permutáció-együttest. Legyen a feladat E meg- 
különböztetése a véletlen függvénytől. 

Tekintsük a következő Z£ megkülönböztető algoritmust: Z kérdezze meg g 
orákulumot g alkalommal, s ha mind a g válasz különböző, döntsön álvé- 
letlen permutációra (kimenet— 1), egyébként döntsön véletlen függvényre 
(kimenet— 0). A születésnapi paradoxon alapján Z megkülönböztető erejére 
a következő alsó korlát kapható: 


APP-cPa(p g,gn) 2 0. 3997) D (17.3) 
4 
17.2. Példa. Lineáris rejtjelező esete: 

Legyen E lineáris leképezések halmaza: y — Az ahol A egy n x n méretű 
invertálható bináris mátrix, a kulcs. Ezen E rejtjelező prf-megkülönböz- 
tethetősége közel 1 értékű, következésképpen ezen rejtjelező leképezésként 
nem biztonságos: 

Tekintsük a következő Z8 megkülönböztető algoritmust: ha g(0") — 07 
akkor Z kimenete 1, egyébként Z kimenete 0. Azaz zérus bemenetre kérünk 
választ az orákulumtól, amely g — E esetén mindig zérus választ ad, míg ha 


8 véletlen függvény szerint számol, akkor csak 27" valószínűséggel kapjuk 
a zérus kimenet értéket. Következésképp 


APT Pap 11) —1—277, 
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(ahol t processzálási idő feltételezetten elegendő az orákulum válasz 07 so- 
rozattal való összehasonlításához, s ennek eredményétől függően a 0/1 ki- 
menet írásához ). 


17.3. Példa. A DES, illetve az AES rejtjelező kódolók biztonságára a kime- 
rítő kulcskeresés, illetve a lineáris kriptanalízis számításigényének felhasz- 
nálásával, az alábbi alsó korlátot adhatjuk: 


1. AP Pap ge, 64-ge) 2 maxter BE cg) 


2. APT ePa(p ge, 128-g0) 2 maxtcs EE, ca ztár b 


ahol 7, az x kódoló esetén egy nyílt szöveg blokk-kódolásának ideje, továbbá 
c; együtthatók megfelelő konstansok. Ugyanis, ha egy p valószínűséggel is- 
merjük a blokkrejtjelező kulcsát, akkor ugyanekkora valószínűséggel ismer- 
jük a dekódoló transzformációt is, s ezen utóbbi transzformációt alkalmazva 
a cpa-orákulum válaszára, legalább p valószínűséggel sikeresen meg tudjuk 
különböztetni az orákulum által futatott algoritmus kétféle választását. 4 


A prf-cpa és prp-cpa biztonság kapcsolata. A PRP egy blokkrejtjelező ter- 
mészetes modellje. Ugyanakkor a PRF modell analízise egyszerűbb. Ezért 
érdekes az a kérdés, hogy a prf-megkülönböztethetőség illetve a prp-meg- 
különböztethetőség között milyen kapcsolat van, azaz milyen kapcsolat van 
a véletlen függvénytől, illetve a véletlen permutációtól való megkülönböz- 
tethetőség között bemenet kéréseket küldve a kapcsolatos megkülönböztető 
orákulumnak (cpa). 


17.2. Tétel. Tekintsünk egy E álvéletlen permutációt: 


APT-cpagp g,an) S APA g,an) 4 a. (7.4) 
Bizonyítás: Az észrevétel a következő: egy E álvéletlen permutáció véletlen 
függvénytől való megkülönböztethetőségét segíti az, hogy a véletlen függ- 
vény különböző bemenetekhez rendelhet azonos kimenetet, míg a permutá- 
ció nem. 
A bizonyítás leírását technikailag egyszerűsíti egy V támadó bevezetése, 
amely hozzon a Z támadóval komplemens kimenetelű döntést, azaz ha Z 
kimenete 1, akkor V kimenete 0, és megfordítva. 
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KELSZ e 

—Pr(prf—cpa— 1p(2)—1)—Pr(prf—cpa—0,(2) — 1) 

—(1-—Pr(prf—cpa— 1k(V)—1))—(1—Pr(prf—cpa—0r(V) — 1) 

— P(prf—cpa—0r(V)— 1) —Príprf—cpa— 1x(V)— 1) 

— Pr(prf—cpa—Or(V) — 19 —Pr(prp— cpa— 1z(V)— 113) 

— Pr(prf—cpa—0Ok(V) —1)—Príprp—cpa—0x(V) — 1) 
4-Príprp—cpa—Ox(V) —1)—Prí(prp—cpa— 1p(V) — 1) 

- Pr(prf—cpa— 0r(V) —1)—Pr(prp—cpa—0,(V) — 1) 
HARTTePÉ(V), 


ahol a negyedik sor második tagja megegyezik a harmadik sor második tag- 
jával, mivela prf—cpa— I, illetve prp— cpa — 1 azt jelenti, hogy a g oráku- 
lum az E szerint válaszol (különbség prf—cpa—0 és prp— cpa— 0 között 
van, ahol az egyikben véletlen függvény, a másikban véletlen permutáció 
szerint érkezik a válasz). 

Ezek után az állítás bizonyításához tehát azt kell belátni, hogy 





a(9— 


Pr(prf—cpa— Or(V)—1)—Pr(prp— cpa—0x(V)— 1) Sr 


Jelölje D azt az eseményt, hogy a g orákulumhoz intézett g különböző ké- 
résre g különböző válasz érkezett: 


Pr(prf —cpa—0(V) — 1) — 

— Príprf—cpa—0Or(V) — 1ID) PrfD) 
--Príprf —cpa—04(V) — IIDJ PHD) 

S Príprf—cpa—0,(V) — 1]D).4-Pr(D) 

— Pr(prp—cpa—0p(V) — 1)-Pr(D) 


-1 
S Pr(prp-cpa—04(V) — 1. 2107, 





ahol a negyedik sor első tagjánál azt az észrevételt használtuk, hogy D fel- 
tétel mellett a prf — cpa — 0 környezet nem különböztehető meg a támadó 
számára a prp — cpa — 0 környezettől. oO 
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17.2.  Kulcsfejtés elleni biztonság 


Klasszikus támadási célkitűzés az, hogy egy cpa-támadó g számú nyílt- 
rejtett pár alapján meghatározza a kulcsot. Ezen támadási célt tűzik ki a ma 
ismert legerősebb támadási módszerek, a differenciális és a lineáris kript- 
analízis is. Mint a fejezet bevezetőjében láttuk, a kulcsfejtés elleni biztonság 
nem elégséges feltétele a kódoló biztonságának. 

Egy Z támadó által egy rejtjelező ellen végrehajtott kr kulcsfejtő támadá- 
son a következő lépések végrehajtását értjük: 


17.1. Algoritmus. 


1. Egy K kulcs kisorsolásra kerül a kulcstérből, amely kulcs Z számára nem 
ismert. 


2. Z támadó választott nyílt szövegére mint kérésre, az Ex orákulum annak 
rejtjelezettjét küldi válaszként. A küldhető kérések száma ge. 


3. A nyílt-rejtett szövegpárok alapján Z a K" döntést hozza a kulcsra. 


4. A kérések K" kulccsal történő kódolásával Z ellenőrzi döntése helyessé- 
gét. Ha döntése helyes, akkor kimenetén I, ellenkező esetben 0 értéket ad. 


A Z támadó kr kulcsfejtő támadásának erejét — értelemszerűen — a 
AE(2) —Príkre(2)— 1) 
valószínűség definiálja, s ennek alapján az Ex rejtjelező kr-biztonsága 
A(t, desHe) — maxPr(kr(Z) — 1). (17.5) 


17.4. Példa. (DES): Ha feltesszük, hogy két nyílt-rejtett páron ellenőrizve a 
kimerítő kereséses támadást, az mindig sikeres végeredményű (ami gyakor- 
latilag jó közelítés), akkor 


Aes(25STpEs, 2,2.64) —1, 
hasonlóan lineáris kriptanalízis esetére: 
APes(2P7Tpes, 29, 29.64) e 1, 
ahol Tpes egy DES rejtjelezés számításideje. Lineáris kriptanalízis esetén 


jóval kisebb a számításigény, de jóval nagyobb a nyílt-rejtett párok szükséges 
száma. A példa jól illusztrálja a számításidő — adatigény mérleget is. 4 
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A gyakorlatban használt Ex(x) szimmetrikus kulcsú rejtjelező leképezé- 
sekkel kapcsolatosan elvárjuk, hogy K kulcs bemenetében, x rögzített (tá- 
madó által is ismert) értéke mellett egyirányú leképezést nyújtson. Ezen el- 
várásunk helyességét be is tudjuk bizonyítani PRF tulajdonságú rejtjelező 
esetén. 

Emlékeztetünk az egyirányú függvény definíciójára. Tekintsünk egy h : 
10,1)"— (0,1)" függvényt, és legyen / ezen függvény egy invertáló algo- 
ritmusa. Jelölje Pp ág (1) az I invertáló algoritmus sikervalószínűségét (17.1. 
ábra): 


PT) — Pr(N(I(R(UK))) — (UJ). (17.69 


Ezen valószínűség t futási idő erőforráskorlátnak megfelelelő invertáló 
algoritmusok feletti maximuma 


POYI (gp) — max por) a7.7) 


definiálja a h leképezés owf-biztonságát (azaz jelen esetben nem két való- 
színűség különbsége). 





104: i 104 


17.1. ábra.  Illusztráció a 17.3. tételhez 


17.3. Tétel. Ha E : (0,1)" x (0,1y" — (0,1) rejtjelező prf — cpa-biz- 
tonságos, akkor h(K) — E(K,07) : (0,1)" — 10,1) fiiggyvény owf-bizton- 
ságos: 





; 1 - 
PET) S T—ZENBET7ő(t4-tg, LN), (17.8) 


aholk £ N — I, továbbá te (lényegében) egy rejtjelezési lépés ideje. 
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Bizonyítás: Lényegében a következőt kell bebizonyítani: ha a támadó a kul- 
csot nem elhanyagolható sikerrel képes kiszámítani, akkor képes a rejtjelező 
transzformációt is sikeresen megkülönböztetni a véletlen leképezéstől. Le- 
gyen R : (0,1)" — (0,1) egy véletlen függvény. Legyen g egy rejtjelező 
orákulum, amelyről nem tudja a támadó, hogy az E vagy az R leképezést 
futtatja-e. Legyen Z egy ! invertáló algoritmust felhasználó megkülönböz- 
tető támadó, amely a g orákulumhoz tesz fel kérdéseket, s a válaszok alapján 
eldönti, hogy az orákulum milyen algoritmust futtat: 


17.2. Algoritmus. 


1. Z támadó a g orákulumnak a 0" üzenetet (kérést) küldi, amelyre az oráku- 
lum az y választ adja. 

2. Z támadó futtatja az / invertáló algoritmust, s bemenetként y -t adja, majd 
beolvassa az x — I(y) kimenetet. 

3. Z támadó ellenőriz és dönt: ha E(x,07) — y, akkor Z kimenete 1, egyéb- 
ként kimenete 0. 


Legyen továbbá 
PT) — e. (179) 
Alább belátjuk, hogy 
Pr(prf—cpa—1e(27)—1)— e, (17.10) 
továbbá 
2k 
Pr(prf—cpa—Or(2) 1) S 2 €- (17.1D 


Ha ezt már beláttuk, akkor 


agyt emez) — 
— Pr(prf —cpa— 1e(2) —1)—Pr(prf—cpa—0p(2) — 1) 
k 


2 
22—5p£—01—29)e 4712 


alapján (17.9) figyelembevételével a (17.8) állítás adódik. 
Ugyanis (17.9) és (17.12) alapján tetszőleges / esetén 


PPD) s 





1 
1—24-N -ARTP0(Z), 
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majd vegyük ezen egyenlőtlenség kétoldali mennyiségeinek maximumát 1- 
" ben (erőforrás-korlát mellett), valamint vegyük figyelembe a jobb oldalon, 
hogy 
max APT 7P(Z) £ max APT epay), 
Lássuk be tehát (17.10) és (17.11) állításokat. 

A g — E esetre vonatkozó (17.10) egyenlőség a (17.6) formula mögötti 
kísérlet (azaz h invertálása és a siker ellenőrzése) és Z algoritmus lépéseinek 
egybeesése miatt fennáll. 

(17.11) felső becslés a következőképp látható be. Legyen 


X-(xe (01): h(I(h(9)) — ho), 
Y — (ye (01): h(I(y)) —)- 


A feladat prf — cpa — 04(Z) esetén az alábbi valószínűség becslése: 


ő — Pr(E(I(Uw), 07) — Ugy — Pr(h(I(Uw)) — Un). (17.13) 
Nem nehéz látni, hogy 
III 2e 
öz 


ahol az első egyenlőség a ő illetve Y definíciója alapján látható. Az egyenlőt- 
lenség az IY] £ IXI alapján következik (ti. h több különböző bemenetet ké- 
pezhet azonos kimenetbe). A második egyenlőség (17.6) és (17.9) formulák, 
valamint X definíciója alapján fennálló € — IXI/2" egyenlőség következmé- 
nye, ugyanis Pr(h(I(h(Ux))) — h(Up)) — e. a 


17.3. Nyílt szöveg visszafejtő támadás 

Egy Z támadó által egy Ek rejtjelező ellen végrehajtott nyílt szöveg fejtő 

támadáson (pr, plaintext recovery) a következő lépések végrehajtását értjük: 

17.3. Algoritmus. 

1. Egy K kulcs és egy m üzenet kisorsolásra kerül a kulcstérből, illetve üze- 
nettérből, amely sorsolási eredmények Z számára nem ismertek. 

2. Z támadó megkapja a c — Ex(m) rejtjeles szöveget. 

3. Z támadó nyílt szöveg kérésekkel fordulhat az orákulumhoz. A küldhető 
kérések száma ae. 
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4. A nyílt-rejtett szövegpárok alapján Z döntést hoz az m üzenetre: dön- 
tése m!. 


5. Z támadó a meghozott döntését ellenőrzi: nm üzenetet elküldi az oráku- 
lumnak, s a választ egybeveti c rejtett szöveggel. Ha ezen egybevetés ered- 
ményes, akkor kimenetén 1, ellenkező esetben 0 értéket adja. 


Megjegyzés: Az 5. ellenőrző lépést nem számítottuk be az orákulum- 
kérések engedélyezett számába. Végső soron Z kimenetén az m! üzenetet 
is küldhetné (ti. ez a gyakorlati célja), azonban szerettünk volna ragaszkodni 
az eddigiekben is használt bináris kimenetű támadó algoritmushoz. 

A Z támadó nyílt szöveg fejtő erejét a 


AP par) — Pr(pr— cpag (2) — 1) 


valószínűség definiálja, s ennek alapján a rejtjelező nyílt szöveg visszafejtés 
elleni biztonsága: 


AZ P(t, des He) — max Pr(pr— cpap(Z) — 1). (17.14) 


17.4. . Üzenet-megkülönböztető támadás 


Az üzenet-megkülönböztető támadás (lor) erős biztonság-definíció, amely 
nemcsak a szimmetrikus kulcsú rejtjelezőkre, de kis módosítással az aszim- 
metrikus kulcsú rejtjelezőkre is alkalmazható. Ezen biztonság garantálja a 
rejtjelező biztonságát kulcsvisszafejtő támadással, valamint a nyílt szöveget 
fejtő támadással szemben is. A rejtjelező ebben az értelemben akkor bizton- 
ságos, ha a támadó nem tud felmutatni két nyílt szöveget, amelynek rejtjele- 
zettjeit nem elhanyagolható mértékben meg tudja különböztetni. 


Hozzáférés kódoló orákulumhoz (lor — cpa). Z támadó kiválaszthat tetsző- 
leges (mo,m1) üzenetpárt, s ezt a párt egy rejtjelező orákulumhoz küldi ké- 
résként. Az orákulum először véletlenszerűen kisorsol egy b € (0,1) bi- 
náris értéket, s ennek alapján kiválasztja az mp üzenetet, majd azt rejtje- 
lezi, s a rejtjelezett üzenetet válaszként visszaküldi Z támadónak. Formálisan 
ezt úgy jelöljük, hogy Z támadó egy Ex o 9; orákulumhoz fér hozzá, ahol 
25 (mo,m1) — mp, továbbá Ex a szimmetrikus kulcsú rejtjelező transzformá- 
ció K kulccsal. A Z támadó futási idő korlátja t, legfeljebb ge kérést küldhet 
az orákulumnak, amelyek összhossza nem nagyobb, mint e. Az orákulum, 
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a legelső kérésnél kisorsoltnak megfelelően, a további kérésekre mindig az 
üzenetpár ugyanazon elemét választja ki. A Z támadó feladata annak megál- 
lapítása, hogy az üzenetpár melyik tagjára kapja a rejtjeles választ, azaz egy 
4 döntést hoz b értékére. Ennek alapján: 


17.4. Definíció (, bal-vagy-jobb"-megkülönböztetés, /or — cpa). 
Z támadó NET "PI(Z) tor — cpa-megkülönböztető képességét 
APT Par) — Pr(tor—cpa— 1e(7) —1)—Pr(lor—cpa— Or (2) — 1) 
(17.15) 
defi niálja, illetve az Ex lor — cpa-megkülönböztethetősége a 


MET PÉ(t dee) — Max APT PA(Z) (17.16) 
maximummal kerül defi niálásra. A lor— cpa— 1 támadás-azonosító a b — 1, 
a lor — cpa—0 támadás-azonosító a b — 0 esetre vonatkozik. 

Ha APT "Pap ge, He) 2 €, azt mondjuk, hogy Ex rejtjelező (t, ge, He, €)- 
biztonságú. Hasonlóan, ha A""P9(Z) 2 €, azt mondjuk, hogy Z támadó a 
rejtjelezőt (t, ge, He, €)-töri. 

A (17.15) differencia a támadó b" döntését kiemelve 

Pr(4/ — 1]b—1)—Pr(b" —1]15b—0) 
alakba is írható, ahonnan elemi lépésekkel 
Pr(4" —1]b —1)— Prf4/ — 1]D —0) — 
— Pr(4/ —11b—1)—(1—Pr(p" —0]b —0)) 
1 
— 2-5 Pr(4 —119— 1 — 2 Pr(g—0b—04-1 


—2.Pr(b"—b)—1 
alakot kapjuk. Ennek felhasználásával a (17.15) definícióval ekvivalens 
APT Pa(7) — 2Pr(lor—cpa—br(Z) —b)—1 (17.17) 
definícióra jutunk. 


Az alábbi három példa azt jelzi, hogy nem könnyű megfelelni ezen biz- 
tonságfogalomnak: az első példa az ECB, a második a CBC blokkrejtje- 
lezési módra mutatja meg, hogy nem lor — cpa-biztonságosak. A harma- 
dik példában viszont megmutatjuk, hogy a CTR (számláló) mód lor — cpa- 
biztonságos. 
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17.5. Példa. Az ECB blokkrejtjelezési mód nem lor — cpa-biztonságos. Sőt 
egyetlen orákulum-kérés elegendő a megkülönböztető támadás sikeréhez. 
Ennek belátásához tekintsük a következő, két blokk hosszú üzenetekből álló 
párt: 
(mo — [ús u,mi — [u,v]), 

ahol u és v különböző blokkok, [u] — [vI — n. Mivel a rejtjelezés blokkon- 
ként történik, ezért Z megkülönböztető algoritmus azt vizsgálja, hogy azonos 
vagy különböző-e a rejtjelezett válasz két blokkja. Ekkor 


ATP, 1, 2n) — 





a 


ahol t az (mo,m1) üzenetpár orákulumhoz küldésének, illetve a válasz két 
fele egybevetésének ideje. 4 


17.6. Példa. A CBC blokkrejtjelezési mód nem lor — cpa-biztonságos. Két 
kéréssel fordul a támadó a lor — cpa-orákulumhoz: az 


(mor — (ri,r2).mni — (u,u)) 


üzenetpárral, és az 
(moz — (r3,ra),mi2 — (u,v)) 


üzenetpárral, ahol r;, u,v üzenetblokk méretűek, továbbá r; blokkok vélet- 
lenek. A Z megkülönböztető algoritmus a rejtett szövegek első blokkjának 
azonosságát vizsgálja a két kérés alapján. Így 


APT Pap 24n) —1—277. 4 


A CTR (Counter) mód használatos randomizált (állapotmentes), illetve 
számlálóalapú (állapotos) változatban. Mindkettő kulcsfolyamatos rejtjele- 
zés. A randomizált kulcs-inicializálós mód (CTR$) esetén a kulcsfolyam 


Ex(rt 1), Ex(r--2), ..., Ek(r--i), 
míg a számlálós kulcs-inicializálós mód (CTRC) esetén a kulcsfolyam: 
Ex(ctrt- 1), Ex(ctr--2), ..., Ek(ctr--i), 


ahol r, illetve ctr nyílt szöveg térbeli véletlen, illetve konstans elemek. A 
kulcsfolyam i blokk hosszú, amely szám megegyezik a rejtjelezendő nyílt 
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szöveg blokkjainak számával. A kulcsfolyamot bitenkénti mod 2 összeadás- 
sal adjuk a nyílt szöveghez. Az r véletlen elemet minden egyes újabb nyílt 
szöveg rejtjelezése előtt újrasorsoljuk. A ctr számláló kezdeti értéke zérus, 
értéke minden rejtjelezéssel növekszik és tárolódik (állapotos rejtjelezési 
mód). A számláló értéke nem haladhatja meg a nyílt szövegek terének mére- 
tét, ha ezt eléri, a rejtjelezés nem folytatható, ekkor új K kulcsot sorsolunk, s 
a ctr számláló értékét nullázzuk. Az E blokk-kódolóval történő CTR módú 
rejtjelezésre a ctr(E) jelölést használjuk. 

Az alábbiakban megmutatjuk, hogy a CTR mód biztonságos: a bizton- 
ságos E kódoló elemet biztonságosan terjeszti ki hosszabb üzenetekre. Az 
alábbi állítást látjuk be a CTRC mód esetére: 


17.5. Tétel. Legyen E : (0,1)" x (0,1)" — (0,1)". CTRC mód esetén 
AS (tg) S2-ART PO d ng), (17.18) 


ahol d -u/N, a NY. 


(A tétel megengedi, hogy a E blokkrejtjelező hossznövelő legyen, azaz az 
N 5 n esetet is.) 

Bizonyítás: A bizonyítás egyik fontos ötlete az, hogy szétválasztjuk a pro- 
tokoll (CTR mód) biztonságosságának vizsgálatát a kódoló transzformáció 
biztonságosságától egy R : (0, 1)" — (0,1)" véletlen függvény felhasználá- 
sával. 

Legyen Z egy lor — cpa-támadó a ctrc(E) rejtjelezéssel szemben. Erre 
redukálja Z" prf — cpa-támadó a saját feladatát, amely az E rejtjelező meg- 
különböztetése az R véletlen függvénytől: Z" kódolási kéréseket küldhet egy 
8 orákulumnak, amely vagy E vagy R leképezés szerint számol (17.2. ábra). 

Z" támadó szimulál egy lor— cpa-orákulumot Z számára, azaz Z" válaszol 
Z orákulum-kéréseire: Z" támadó kisorsol egy b bináris értéket, s a Z kéré- 
sében érkező (mo,m1) üzenetpárból Z" b értékének megfelelően kiválasztja 
az egyik üzenetet, majd saját g orákulumának felhasználásával szimulálja Z 
orákulumát. A szimulált orákulum válaszát továbbítja Z felé. 

Z döntése alapján Z" a következő döntést hozza g orákulum tartalmáról: 
ha Z eltalálta b értékét, akkor Z" úgy dönt, hogy az E leképezést futtatja a g 
orákulum (Z" kimenete 1), ha pedig Z döntése sikertelen, Z" arra dönt, hogy 
az R véletlen leképezést futtatja a g orákulum (Z" kimenete 0). 

Belátjuk, hogy 


Alroti (Z) —2-APTePO(Z), SAR 
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cír(EjeíR) Ze 
utes 
FA 
lor-cpa 
1 o 
1 o 


17.2. ábra. Redukció (17.5. tétel) 


ahonnan (17.18) formula már következik, mivel (17.19) két oldalán Z sze- 
rinti maximumot képezve, a jobb oldal legfeljebb akkora lesz, mint max 2- 
Age]. 


Pr(prf—cpa— 1p(Z7) 1) — 

a FH) Pr(lor— cpa— Ia) (Z) — 1) 
ak a Prltor—cpa— Or (2) 7-0) 

z 2 Prllor— cpa— lare(gy (2) — 1) 


1 

a Fi — Prílor — cpa —Oaretzy (2) -1p 
al 1 
554 2 (Pr(lor— cpa— Lare(z (2) — 1) 

— Prílor— cpa — Ore(E) (2-1 

kt se 

- ezel. 

Hasonlóan kapjuk, hogy 


í 
Pr(prf —cpa—Op(Z)—1)— 5 SALT (7), 
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ahonnan 


AT epo(Z") — Pr(prf—cpa— 1z(Z9)— 1) 
—Pr(prf — élét 0£(Z9) —-1) 
1 és 
38 ao 2 Acrrotá (7) 


lor— 
— zar Be(Z), 
ahol felhasználtuk, hogy 


ATR (7) —0. (17.20) 


(17.20) állítás intuitíve is látható: ha véletlen függvénnyel rejtjelezünk CTR 
módban, akkor tulajdonképpen one-time-pad kulcsfolyammal rejtjelezünk 
mindaddig, amíg nem merítettük ki a teljes számlálóteret. Innen (17.19) fel- 
használásával (17.18) állítás adódik. im] 


A lor — cpa-biztonság fogalom erejét a fenti blokkkódolási mód analí- 
Zis példák mellett az alábbi két tétel is jól mutatja. Az első eredmény szerint 
lor — cpa-biztonság garantálja a rejtjelező biztonságát kulcsvisszafejtő táma- 
dással szemben, míg a második eredmény ugyanezt garantálja ismert rejtett 
szöveg alapján, nyílt szöveget fejtő támadással szemben. 

17.6. Tétel. Ha egy szimmetrikus kulcsú rejtjelező lor — cpa-biztonságos, 
akkor biztonságos kulcsvisszafejtő támadással szemben, azaz kr-biztonsá- 
gos is. 

Bizonyítás: Indirekt bizonyítással tegyük fel, hogy Z támadó sikeres az Ex 
rejtjelező K kulcsának visszafejtésében. Z alapján egy Z" lor — cpa-támadó 
konstruálható az alábbi módon: 


17.4. Algoritmus. 

1. Z" támadó a Z kulcsfejtő algoritmust futtatja. 

2. A Z kulcsfejtő algoritmus m választott üzenetre kéri a rejtjelezett üzenetet. 

3. Z" az (m,m) üzenetpárt küldi az Ex o 94 orákulumnak, s az Ex o 94(m,m) 
orákulum-választ adja válaszként a Z algoritmusnak. 

4. Z kimenetként K" becsült kulcsot adja. 

5. Z" az (mo,m1) üzenetpárt küldi az Ex o 04 lor — cpa-orákulumnak, s az 
orákulum válasza alapján a következő döntést hozza: ha Dx"(Ek o 9(mo, 
mi)) — mi, akkor Z" kimenete 1, egyébként 0. 
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Bevezetve a B — (K" — K) eseményt, Z támadó sikeressége azt jelenti, hogy 
Pr(B) 2 €, ahol € nem elhanyagolható. Innen 


IPr(lor—cpa— 1e(Z") —1)—Pr(lor—cpa—0r(Z") — 1) — 
— I(prflor—cpa— 1e(Z) — 1IB) 

—Prílor—cpa—0r(Z") — 11B)) -P(B) 

-(Pr(lor—cpa— 1x(Z") — 118) 

—Prílor — cpa—0r(Z") — 1[B)) -PríB)I 
—I(1—0).Pr(B) (277 —2-") -Pr(Bj1—Pr(B) 2 e, 


azaz E, nem lenne lor — cpa-biztonságos, ami ellentmond a feltételünknek. 
ask 


17.7. Tétel. Ha egy Ex szimmetrikus kulcsú rejtjelező lor — cpa-biztonsá- 
gos, akkor biztonságos ismert rejtett szöveg alapján nyílt szöveget fejtő tá- 
madással szemben, azaz pr-biztonságos is. 


Bizonyítás: (Vázlat) Tegyük fel, hogy állításunkkal ellentétben létezik egy Z 
nyílt szöveg fejtő támadó, amelynek sikervalószínűsége nem elhanyagolható. 
Z alapján egy Z" lor — cpa-támadó konstruálható, ahol Z" kimenete 1, ha 
ZIEk 2 94(mo,m1)] — mi, egyébként Z" kimenete 0. BH 


Hozzáférés kódoló és dekódoló orákulumhoz is (lor — cca). Választott rej- 
tett szövegű támadás (cca) esetén megengedjük, hogy a támadó ne csak bal- 
vagy-jobb rejtjelező orákulumhoz férjen hozzá, de általa választott rejtett 
szöveghez is kérhesse a nyílt szöveget. Ezen utóbbit azon — természetes — 
megszorítás mellett teheti, hogy olyan rejtett szöveget adhat csak meg kérés- 
ként, amely korábban nem szerepelt egy nyílt szövegű kérésre adott rejtje- 
lező orákulum-válaszként. Z támadó tehát az Ex o 9, és Dx orákulumokhoz 
fér hozzá, ahol Dx a dekódoló transzformáció. 

Ezen lor — cca-támadó várhatóan erősebb, mint a lor — cpa-támadó. Ezt 
az alábbi példával is illusztráljuk, megmutatva, hogy meg tudja törni a CTR 
(Számláló Mód) rejtjelezési módot is. 


17.7. Példa. Legyen c az m nyílt szöveg rejtjelezettje. Negáljuk c j-edik bit- 
jét, amellyel c" rejtett szöveget kapjuk. Ezt a c" rejtett szöveget adjuk fejtésre 
az orákulumnak, amely m!" nyílt szöveget adja válaszul, ahol m és m" a j-edik 
bitben különböznek. Következésképp az m üzenetet is megismertük anélkül, 
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hogy olyan rejtett szöveget adtunk volna kérésként az orákulumnak beme- 
netként, amelyet az kimenetként már korábban előállított. A fejezet elején 
bevezetett erőforrás-jelöléseinkkel azt kaptuk tehát, hogy 


APT Pa 1n,1,N) — 1, 


azaz egy n bit hosszú kérést intéztünk a lor (kódoló) orákulumhoz, egy N 
bites kérést pedig a dekódoló orákulumhoz. 4 


18. 


Biztonságos nyilvános kulcsú rejtjelezés 


Ebben a fejezetben a nyilvános kulcsú rejtjelezéshez kapcsolódó biztonsági 

fogalmak kerülnek kifejtésre. A nyilvános kulcsú rejtjelezést egy (G,E,D) 

hatékony algoritmus-hármassal definiáljuk, ahol 

1. G(1") kulcsgeneráló algoritmus outputja a (pk,sk) (nyilvános kulcs, tit- 
kos kulcs) kulcspár, 

2. E rejtjelező algoritmus (m € (0,1)",pk) inputra a c — Epx(m) rejtjeles 
szöveget számolja ki, 

3. D dekódoló algoritmus (c € (0,1)",sk) inputra az m — D(Epx(m),sk) 
nyílt szöveget számolja ki. 

A legismertebb nyilvános kulcsú rejtjelező az RSA. Az alábbi példában egy 

kevésbé ismertet, az EIGamal rejtjelezőt mutatjuk be. 

18.1. Példa. (ElGamal rejtjelező): Tekintsünk egy g elemű G csoportot g ge- 

nerátor elemmel. A kulcsgeneráló algoritmus outputja (pk — X , sk — x), ahol 

X — g7, továbbá x véletlenszerűen kerül kiválasztásra az S — (1,2,...,a) 

halmazból (x c, §). Egy m € G üzenet rejtjelezettje 


Epx(m) — (Ya), 
ahol Y — g7, y —, S, a — Km, K — X". A rejtett üzenet dekódolása 
Da(Y,a) —a/K—m, 


ahol K—Y?. 
Az ElGamal rejtjelező biztonsági analízisére a fejezetben visszatérünk. db 
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A nyilvános kulcsú rejtjelezők alapvető biztonsági fogalmai a következők: 

1. szemantikai biztonság (ss, semantic security), 
2. üzenet-megkülönböztetés biztonság (ind, indistinguishability), 
3. rejtjeles szöveg módosíthatatlanság biztonság (nm, non-malleability). 

Az üzenet-megkülönböztetés biztonság lényegében megfelel a szimmet- 
rikus kulcsú rejtjelezők üzenet-megkülönböztetés biztonság (/or) fogalmá- 
nak. Mivel inkább az ind rövidítés használatos az üzenet-megkülönböztetés 
biztonság fogalomra nyilvános kulcsú esetben, ezért mi is ezt a megjelölést 
alkalmazzuk. 

A biztonsági fogalmakon belüli támadási modellek két fő típusa a — szim- 
metrikus kulcsú rejtjelezés kapcsán már taglalt — cpa (nyílt szöveg választás 
alapú támadás) és cca (rejtett szöveg választás alapú támadás). A cca mo- 
dellen belül megkülönböztetjük a ccal és a cca2 modellt. A cca2 modell- 
ben a támadó adaptívan küldheti orákulum-kéréseit, azaz következő kérése 
az előző kérésekhez kapott orákulum-válaszoktól is függhet, ezért szokás 
adaptív választott rejtett szövegű támadásnak nevezni. A ccal modell ese- 
tén a támadó egyben küldi el összes orákulum-kérését, amely kérések nem 
függhetnek az adott támadás során általa kapott rejtett vagy fejtett mennyi- 
ségektől. 


18.2. Példa. Az ElGamal rejtjelező nem biztonságos adaptív választott rej- 
tett szövegű támadás (cca2) ellen. Ha a támadó kezébe kerül egy Epx(m) — 
(TF, a) rejtjelezett üzenet, akkor egy (Y, go) kérést küldhet a dekódoló oráku- 
lumnak, amely azt a gm € G üzenetbe dekódolja. Ennek alapján az m üzenet 
már könnyen kiszámítható. É-i 


A 18.1. ábra szemlélteti a biztonság-definíciók implikációs gráfját. Lát- 
hatjuk például, hogy az nm — cca2 biztonságfogalom a legerősebb (a vizs- 
gáltak közül), mivel ennek teljesülése maga után vonja a többi biztonságfo- 
galom szerinti biztonságot is. 

A továbbiakban sorra vesszük a fenti biztonság-definíciókat. 


18.1.  Szemantikai biztonság 


Shannon ideális rejtjelezője esetén, lehallgatott rejtjeles szöveg ismeretében 
a nyílt szövegre vonatkozóan tetszőlegesen nagy számítási kapacitás mellett 
sem tudunk meg a priori ismereteinknél több információt. Ennek a foga- 
lomnak erőforrás-megszorítás melletti megfelelője a szemantikai biztonság 
fogalma. 
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INM-CCA2 


Lt l 
SS 5 IND-CPA T IND-OCAT "" IND-CCAZ 


18.1. ábra. Nyilvános kulcsú rejtjelezés biztonság fogalmai 


Legyen g : M — (0,1)y" a részinformáció leképezés az üzenetek M teré- 
ből a véges bináris sorozatok terébe. Például g(m) — 1, m € (0,1)", ha az 
üzenetben "111" részsorozat előfordul. 

Kisorsolunk egy m üzenetet az üzenetek teréből, a priori a támadó által 

is ismert eloszlás szerint. Szemantikai biztonság fennállása esetén, a támadó 
semmilyen g részinformációs függvény esetén sem tudja pontosabban be- 
csülni g(m) értékét azon esetben, ha megtudja az m üzenet c — Epr(m) rejt- 
jelezettjét, ahhoz képest, mintha ezen rejtjeles üzenetet nem ismerné. Formá- 
lisan: 
18.1. Definíció (szemantikai biztonság). A (G,E,D) nyilvános kulcsú rejt- 
Jelezés (t(n), e(n)) szemantikailag biztonságos, ha nyílt üzenetek tetszőleges 
X eloszlása, tetszőleges g részinformációs függvény és tetszőleges t(n) erő- 
forrás-korlátú hatékony Z támadó algoritmus esetén létezik azonos erőfor- 
rás-korlátú hatékony Z!" támadó algoritmus, hogy a 


nexPr (ZU E(m, Pk) pr) — elm) — Pr AZT PR — elm) 
(pk.sk)—G(n) (pk.sk).—G(n) 

(18.1) 
differencia nem nagyobb, mint E(n), ahol Z, illetve Z" algoritmusok mögött 
zárójelben azok inputja áll. Továbbá, a valószínűség Pr jele alatt azon való- 
színűségi változókat jelöltük, amelyek felett a valószínűséget számítjuk. Így 
a (18.1) kifejezésben m üzenet valószínűségi változó az X eloszlás szerint 
kerül kiválasztásra, továbbá a kulcs-pár véletlenszerűen kerül kiválasztásra 
a G hatékony kulcsgeneráló algoritmus outputjaként az 1" (biztonsági para- 
méter) inputra. 

Vegyük észre, hogy (18.1) baloldala nemnegatív, miután Z algoritmusok 
halmaza magába foglalja Z" algoritmusok halmazát. A Z" algoritmust szokás 
szimulációs algoritmusnak is hívni. 

Az alábbi példa egy fontos tényre hívja fel a figyelmet. 


374 IV. Fejezetek a bizonyítható biztonság elméletéből 


18.3. Példa. Tekintsünk egy nyilvános kulcsú rejtjelezést, amelynél E de- 
terminisztikus leképezés, továbbá a nyílt üzenetek X eloszlása konstans mé- 
retű (azaz n-től független méretű) üzenethalmazra koncentrált, például M — 
(0, 1). Ez a rejtjelezés nem lehet szemantikailag biztonságos. Ugyanis Z tá- 
madó 1 valószínűséggel sikeres tud lenni, ha — a nyilvános kódoló kulcs, 
pk ismeretében — megkeresi azon üzenetet, amelynek a rejtjelezettjét meg- 
ismerte. Ez az észrevétel is a véletlenítés rejtjelezésben betöltött szerepének 
fontosságát jelzi. 4 


18.2. Üzenet-megkülönböztethetetlenség biztonság 


18.2.1. . Megkülönböztethetetlenség dekódoló orákulumhoz való hozzá- 
férés nélkül (ind — cpa) 


Szóban kifejtve: egy (G,E,D) nyilvános kulcsú rejtjelezés üzenet-megkü- 
lönböztető támadással szemben biztonságos, ha a támadó nem tud megadni 
egy olyan üzenetpárt, amelyből visszakapja az egyik, véletlenszerűen ki- 
választott üzenet rejtjelezettjét, s nem elhanyagolható valószínűséggel meg 
tudja állapítani, hogy az melyik üzenethez tartozik. 


18.2. Definíció (üzenet-megkülönböztethetetlenség). Egy (G,E,D) nyilvá- 
nos kulcsú rejtjelezés üzenet-megkülönböztető támadással szemben (t(n), 
€(n))-biztonságú, ha tetszőleges mo,mi € (0,1y" üzenetpár, tetszőleges, t(n) 
erőforrás-korlátú hatékony Z támadó algoritmus esetén 


tere a ZÁ mom Elm POD ZT) 


s AB 1 E p—-1 e k 
úg ,mo,mi, E(mo,pk),pk)— 1) Se(n)  (18.2) 


Nem nehéz belátni, hogy 


setogj (ZU mom E(mp,pk),pk)—b) S 1/2--e(n)/2. (8.3) 
€10, 
(pk.sk)G(n) 


Ugyanis — egyszerűsített jelölésekkel — kiindulva (18.2) egyenlőtlenség bal 
oldalából: 
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Pr(Z(.E(mo.).) —0]1b—0)-Pr(b—0) 
4. Pr(Z(.E(mi.).) —11b—1)-Pr(b— 1) 
— [1—Pr(Z(.E(mo.).) — 11 -Pr(b—0) 
--Pr(Z(.E(mi.).) —1)-Pr(p—1) 
— 1/2-41/2-[Pr(Z(.E(m.).) —1)—P(Z(.E(mo.).) — 1] 
S1/2-4e(n)/2, 


ahonnan átrendezéssel (18.3) alakra juthatunk. 


Az ElGamal rejtjelező és az ind — cpa-biztonság. Legyen p egy prímszám, 
s tekintsük a mod p szorzócsoportot. A támadó az mo üzenetet kvadratikus 
maradéknak (a.r.), az mi üzenetet nem kvadratikus maradéknak (n.g.r.) vá- 
lasztja, azaz a 22 — mg (mod p) egyenletnek van, míg a z2 — mi (mod p) 
egyenletnek nincs megoldása a csoportban. A támadó rendelkezésére áll g7 
nyilvános kulcs, továbbá az ind — cpa-biztonság szerint egy (8? , g"m;) rej- 
tett üzenet. 

A kvadratikus maradékokkal kapcsolatosan hivatkozunk az alábbi tulaj- 
donságokra: 
Két csoportbeli elem szorzata akkor és csak akkor kvadratikus maradék, ha 
mindkét elem kvadratikus maradék. g"! akkor és csak akkor kvadratikus ma- 
radék, ha X — g" vagy Y — g? kvadratikus maradék. Könnyű feladat az adott 
csoportban a kvadratikus maradék tulajdonság eldöntése. 
Ezek alapján a támadó a 18.1. táblázat szerint sikeresen támad. 








§ mi 

a-r. a.r. 7 mo 
g-r. n.g.r. a mi 
n.g.r. 

n.g.r. . ] a.r. 5 mo 


18.1. táblázat. Támadás az ElGamal rejtjelezés ellen 


Ha azonban egy G — (g) csoportban a Diffie-Hellman döntési probléma 
(DDH-probléma) nehéz, akkor ezen csoport felett az EIGamal rejtjelező már 
ind — cpa-biztonságú, ahol a DDH-probléma a következő: 
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18.3. Definíció (DDH-probléma). Tekintsünk egy G — (g) csoportot, s adott 

(87, 89, 87) hármas esetén el kell dönteni, hogy z—x-y mod IGI összefüggés 

fennáll-e a kitevők között. 

Az ind — cpa-biztonság bizonyítása redukcióval végezhető (18.2. ábra): 

Legyen Z egy támadó, amely sikeresen töri az EIGamal rejtjelezőt. Konstru- 

áljunk egy Z" támadót, amely , töri" a DDH-problémát a következőképp: 

18.1. Algoritmus. 

1. Z" támadó Z támadónak g? csoportelemet adja, mint nyilvános kulcsot. 

2. Z támadó előállít egy mo, mi üzenet-párt. 

3. 77 kisorsol egy b bitet, s rejtjeles üzenetként (g?, g"m,) elemet küldi Z- 
nek. 

4. Ha Z outputja megegyezik b bittel, akkor Z" outputja 1, azaz Z" döntése 
az, hogy (87, 29, 87) egy DDH-hármas, egyébként Z" outputja 0. 


(95.997) 








18.2. ábra. Redukció (ElGamal rejtjelezés) 


A szemantikai biztonság és az ind — cpa-biztonság ekvivalensek. A (18.1) 
és (18.2) definíciók egybevetéséből nem nehéz látni az ss — ind — cpa imp- 
likációt: 
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18.4. Tétel. ss-biztonság — ind — cpa-biztonság 
Bizonyítás: A (18.1) formulában legyen g(mo) — 0, g(m1) — 1, továbbá le- 
gyen X üzeneteloszlás egyenletes az (mo,mi) halmazon. Ekkor egy Z ss- 
támadó egyben ind-támadó is. A (18.1) formula alapján ugyanis 
Pi Z(1",mo,mi, E(mp,pk), pk) — 
vett AZ mom, Elmo pi ).pk)—b) 
(pksk)—G(n) 
S Pr (Z(I,pkh—b)--e(n), (18.4) 


— befol 
(pk.sk)—G(n) 


ahol észrevehetjük, hogy az egyenlőtlenség jobb oldalának első tagja 1/2, 
ugyanis b valószínűségi változót az orákulum egyenletes eloszlással sorsolja. 
u 
Ellenkező irányban is fennáll az implikáció: 
18.5. Tétel. ind — cpa-biztonság — ss-biztonság 
Bizonyítás: Indirekt bizonyítás. Legyen Z egy ss-támadó, amely (t,€)-töri 
a rejtjelezőt, aza (18.1) különbség (2 €), tetszőleges, az erőforráskorlátnak 
eleget tevő Z" szimulációs algoritmus esetén. Megmutatjuk, hogy Z hasz- 
nálható ind — cpa-támadásra. A kapocs a kétféle biztonság-definíció között 
az az észrevétel, hogy az ss-biztonság definíciójabeli Z" szimulációs algorit- 
musra fennáll a 
Z(1",pk) —Z", E(0, pk),pk) (18.5) 
egyenlőség, hiszen E(0, pk) előállítható kizárólag pk ismeretében. Mivel 
(18.1) különbség (5 €) tetszőleges, erőforráskorlátnak eleget tevő Z" szi- 
mulációs algoritmus esetén fennáll, így fennáll akkor is, ha szimulációs al- 


goritmusként 7" helyett Z algoritmust használjuk. Formalizáljuk ezen észre- 
vételeket. Tömörítés céljából legyen 


U(v) — (Z(1", E(v,pk),.pk) — g(v) 


W(v) — (Z(1", E(0, pk), pk) — g(v) )- 
A sikeresnek feltételezett ss-támadás kapcsán (18.5) figyelembevételével): 


naPr (UC) —, Pr (W(m)) s eln), 
(pk,sk)—G(n) (pk,sk)—G(n) 
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azaz 


2.Prím) ( vaőt G(n) ÍV ím) 7 eped e G(n) , www) eli 


ahonnan a skatulya-elv alapján létezik pozitív valószínűségű m" üzenet, hogy 


taAt eg TI — Pt o WZ elm. 180 
18.2. Algoritmus. Definiáljuk a Z" ind — cpa támadó algoritmust követke- 
zőképp: 
1. Z" inputja (17, mg — 0,my — m, E(mp, pk), pk). 
2. Z" meghívja Z algoritmust (17, E(mp, pk), pk) inputtal. 
3. Z" algoritmus outputja 1, ha Z outputja g(m), egyébként Z" outputja 0. 


Ekkor Z" ind — cpa-támadó €/2-nél nagyobb sikervalószínűségű lenne. 0 


Felmerül a kérdés: hogyan konstruáljunk ind — cpa- vagy ss-biztonságú 
rejtjelező algoritmust? Fentebb láttunk egy ElGamal alapú megoldást. Az 
alábbiakban először egy — elsősorban elméleti szempontból érdekes — konst- 
rukciót mutatunk be, amely hasonlóan az álvéletlen-generátor alapkonstruk- 
cióhoz, egyirányú függvény keménybitjére támaszkodik. 

Az álvéletlen függvény kapcsán bemutatott konstrukció egyirányú per- 
mutációra támaszkodik. Az alábbi rejtjelező algoritmus csapda egyirányú 
permutációt tételez fel, s annak keménybitje felhasználásával 1 bit üzenetet 
rejtjelez. 


A Goldwasser-Micali rejtjelező algoritmus. Adott (E, pk : Xpk — Xpk)pkePK 

csapda permutáció együttes. Véletlenszerűen választott m € (0, 1) bitet rejt- 

jelezünk az alábbi módon: 

18.3. Algoritmus. 

1. Kulcsgenerálás: a G algoritmus futtatásával a (pk,sk) nyilvános-titkos 
kulcspár képzése. 

2. Rejtjelezés: E(pk,m) — [Epx(x) me bpx(x)], ahol az x € Xpx elemet vé- 
letlenszerűen választjuk. 

3. Dekódolás: D"(pk, sk, E"(pk,m)) — m, részletezve: 


bpx(D(sk, Epr(x)) € (me bpr(x))) — m. 
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Azaz a rejtjeles üzenetet úgy képezzük, hogy a csapda permutáció ősképte- 
réből egy véletlenül választott x elemet leképezünk a csapda permutációval, 
majd ezt meghosszabbítjuk egy bittel, amely az üzenetbit és a véletlen ős- 
képhez tartozó keménybit mod 2 összege. 

Az m üzenetbitről feltettük, hogy egyenletes eloszlással választottuk, el- 
lenkező esetben (lévén, hogy az üzeneteloszlás a támadó a priori ismeretei 
között is megtalálható), kizárólag az üzeneteloszlás ismeretében is hozhatna 
sikeres döntést a támadó. 

Ezen rejtjelezés ind — cpa-biztonságosságát alább igazoljuk. Heurisztikus 
gondolatmenetünk az, hogy a bpr(x) keménybitet kellene ahhoz ismernünk, 
hogy az üzenetbitet dekódoljuk. Ezen keménybitre vonatkozó pontos infor- 
mációt tartalmazza Epx(x), de ennek alapján csak az tudja ezen bitet kinyerni 
hatékony algoritmussal, aki a csapda-információ, azaz dekódoló kulcs birto- 
kában van. Az egy bitnyi üzenet kódolása s bites m — (mi, ma, . . . , ms) bináris 
üzenetekre kiterjeszthető minden egyes bitre, sorban elvégezve az egy bites 
kódolást. 

A Goldwasser-Micali-rejtjelezésnek elsősorban elméleti jelentősége van. 
Gyakorlati haszna kicsi az 1 üzenetbitre jutó nagy műveletigény, a draszti- 
kus hossznövekedés, valamint amiatt, hogy üzenetbitenként annak sokszo- 
rosa mennyiségű véletlen bitet igényel (az x véletlen választása kapcsán). 
Mielőtt elsietve a következtetést, a one-time-pad véletlenbit , pazarlásához" 
hasonlítanánk ezt a rejtjelezést, vegyük észre, hogy ugyan valóban elő kell 
tudni állítani a nagy mennyiségű véletlen bitet a kódoló oldalon, de az nem 
játszik kulcsnak megfelelő szerepet, s így annak másolatát nem kell előzete- 
sen eljuttatnunk a dekódoló oldalra. 

18.6. Tétel. A Goldwasser-Micali-algoritmus ind — cpa-biztonságú. 
Bizonyítás: 

s 1 eset (egy bites üzenet kódolása): 

Az üzenet-megkülönböztethetetlenség biztonságot az üzenet-párok rejtjeles 
alakjainak megkülönböztethetetlenségével definiáltuk. Esetünkben összesen 
két üzenet van, mg — 0 és mi — I, így ezek rejtjelezettjei megkülönböztet- 
hetetlenségét kell bizonyítanunk. Indirekt bizonyításként tegyük fel, hogy a 
tétel állítása nem igaz, azaz létezik t(n) erőforrás-korlátú Z támadó, és léte- 
zik p(n) polinom, hogy végtelen sok n esetén 

mé (ZU, Epx(x) me bpxr(x), pk) — my 5 1/24-1/p(n). (18.7) 


(pk,sk)—G(1) 
x— XI") 


380 IV. Fejezetek a bizonyítható biztonság elméletéből 


Bevezetve a c — m bpr(x) új változót, amely — a one-time-pad elven — 
ugyancsak egyenletes eloszlású, x változótól független bináris valószínűségi 
változó: 


ott IZU Embde pb) —cebald) 2 1/2--1/pw), 
ce 
(pk,sk)—G(1") 
x—,Xpx(17) 


ahonnan elemi átrendezéssel 


Pr (ZU, Epx(x),c,pk) Pc — bpr(x)) 2 1/2-4-1/p(n) 
x—Xa(1") 


alakot kapjuk. Ennek alapján létezik egy Z"(1", Epx(x), pk) algoritmus, ame- 
lyik véletlenszerűen kisorsol egy c bitet, majd Z algoritmus futtatásával ki- 
számítja Z(1", Epx(x), c, pk) € c outputot, hogy 


atta (ZO Ep Pt) — brrlad) 2 1/2--1/P(m), 
x—rXpx(17) 


ami viszont ellentmond annak, hogy b keménybit leképezés. 


s 5 1 eset: (vázlat) 

A hibrid bizonyítástechnika segítségével igazolhatjuk az általános esetet, 
ahol az m — (mi, m2, . . . ,ms), m! — (mt ,m, . . . mt) üzenetpárhoz tartoznak 
az extrém hibridek, s az általános, k-adik hibrid alakja 


Ht — E(pk,m1), ..., E(pk,mx), E(pk,mh.1), ..., E(pk,m), 


k—0,1,...,s, ahol E(pk,m) az egy bites rejtjelezés. A 14.3. tétel bizo- 
nyítási módszerét adaptálva, ellentmondásra jutunk az egybites rejtjelezés 
ind — cpa-biztonsága vonatkozásában. in! 


A Goldreich-Levin egyirányú permutációkra vonatkozó keménybit-tétel 
csapda permutációkra vonatkozó élesítése felhasználásával az RSA algorit- 
musra alapozva megkonstruálhatjuk az első, ind — cpa értelemben bizonyít- 
hatóan biztonságos — de még továbbra is csak elvi jelentőségű — rejtjele- 
zőnket. 


18. Biztonságos nyilvános kulcsú rejtjelezés 381 


1 bit ind — cpa-biztonságú rejtjelezése RSA algoritmussal. 

Tekintsük az RSA algoritmust. Egy m üzenetbit rejtjelezéséhez először vá- 
lasszunk véletlenszerűen az RSA ősképteréből egy x bitsorozatot, valamint 
ugyanilyen méretű, ugyancsak véletlenszerűen választott r bitsorozatot, s 
hajtsuk végre az alábbi műveletet: 


E((n,e),m) — [r, En (x), me (ra) (18.8) 


Speciálisan az RSA algoritmus esetén tudjuk, hogy az üzenet legkisebb 
helyiértékű (Isb) bitje keménybit, azaz b(n e) (x) — Isb(x) keménybit leképe- 
zés. Tehát RSA esetén nemcsak a véletlenszerűn választott r bitsorozatok 
átlagában, de konstans r" — (1,0,...,0) mellett bpx(x) — (r",x) keménybit 
leképezés. Ezenfelül kis ügyeskedéssel — általános esetben is — le tudunk 
faragni 1 bitet a rejtjeles blokk méretéből a következő észrevétellel: vélet- 
lenszerűen választunk x € Xx elemet úgy, hogy arra teljesüljön a bpr(x) —m 
megkötés is, ahol m a rejtjelezendő 1 bites üzenet. A dekódoló ismeri a (nyil- 
vános) keménybit leképezést, s így Epx(x) invertálásával kapott x alapján, 
bpxr(x) kiszámításával dekódolhatja az üzenetet. Ekkor tehát az RSA algo- 
ritmus esetére a (18.8) formula szerinti kódolás a következőképp egyszerű- 
södik: 

E((n,e),m) — En), (18.9) 
ahol x bitsorozatot véletlenszerűen választjuk, azzal a megkötéssel, hogy 
m — Isb(x). 

18.2.2. . Megkülönböztethetetlenség dekódoló orákulumhoz való hozzá- 
féréssel (ind — cca) 

Intuitíve sejthető, hogy az ind — cpa-biztonság gyengébb, mint az ind — cca- 

biztonság. 


18.7. Tétel. Létezik olyan nyilvános kulcsú rejtjelező algoritmus, amelyik 
ind — cpa-biztonságos, de nem ind — cca2-biztonságos. 


Bizonyítás: Tekintsük egy m 1 bites üzenet alábbi Goldwasser-Micali-rejtje- 
lezését RSA felhasználásával ((18.8) formula alapján): 


E((n,e),m) — [r, x mod n, me (r,x)]. 


Az ind — cca2-biztonság támadás modellje adaptív választott szövegű táma- 
dás. A dekódoló orákulumhoz (a vak aláírás ötletéhez hasonlóan) küldjük el 
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6 (mod n) elemet a rejtett szövegek teréből, ahol u véletlen elem invertál- 
ható mod n. Ezzel hozzájutunk x elemhez, s innen r ismeretében dekódolni 
tudjuk az m üzenetet. a 


A Cramer-Shoup-rejtjelező ind — cca2-biztonságú. Az ElGamal rejtjelezés 
nem ind — cca2-biztonságú. A Cramer-Shoup-kódolás az EIGamal-kódolás 
egy ebből a szempontból tökéletesített változata, amely a DDH-probléma 
nehézségét feltételezi. 

Az egyik ötlet az, hogy egy hitelesítő elemet is kiszámol a kódoló. A de- 
kódoló először ellenőrzi ezen hitelesítő elem helyességét, s csak siker esetén 
dekódolja az üzenetet. Ezzel azt kívánja elérni a rejtjelezés, hogy a támadó 
csak olyan kódolt szöveget küldhessen a dekódolónak, amit a kódoló oráku- 
lum állított elő. Ezzel lényegében visszaszorítjuk a támadót egy cpa-támadás 
körülményei közé a lehetőségeit illetően, ugyanis így a támadó nem képes a 
dekódolónak általa fabrikált rejtett szöveget küldeni (a valódi kódoló oráku- 
lumtól származó rejtett szöveget pedig nincs értelme a dekódolónak küldeni, 
hiszen ezek a támadó nyílt szöveg kérésére keletkeztek). 

A Cramer-Shoup-rejtjelező kódolás a következő: (az ElGamal rejtjelezés- 
nél bevezetett jelöléseket használjuk): 


18.4. Algoritmus. 
1. Kulcsgenerálás: Legyenek g1,g2 € G, Xx1,X2,y1.y2,z € Z, véletlen elemek, 
ahol g — IGI. A nyilvános kulcs öt elemű: 
(81. 82.€—8187,d—ey 87, h— ei, H), 
ahol H egy univerzális egyirányú hash függvény (UOWHF). A titkos 
kulcs szintén öt elemű: 


(x1, x2, y1, y2, 2)- 


2. Rejtjelező kódolás: Legyen m € G az üzenet. A kódoló algoritmus sorsol 
egy r € Z, véletlen elemet. A rejtett szöveg (w1, uw2,e,v), ahol 


11 — 81, 42— 83, e— hm, v— dd", 


ahol a — H (u, u, e), továbbá v a hitelesítő elem. 

3. Dekódolás: Egy (ui, u2,e,v) rejtett szöveg inputra a dekódoló először el- 
lenőrzi a v hitelesítő elem helyességét az (xi, x2,y1,y2 ) titkos kulcsele- 
mek és a nyilvános H hash transzformáció felhasználásával, azaz képezi 
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az a — H(u1, u2,e) lenyomatot, majd ellenőrzi az alábbi egyenlőség fenn- 
állását: 


rna pgzbaa 


Ha nem áll fenn az egyenlőség, akkor outputja a , visszutasítva" szöveg, 
ellenkező esetben elvégzi az alábbi műveletet, amivel dekódolja az üze- 


netet: 
mzefiő. 


18.8. Tétel. A Cramer-Shoup-rejtjelezés ind — cca2-biztonságú 
Bizonyítás: A bizonyítás indirekt. Tegyük fel, hogy Z támadó sikeres ind — 
cca2-támadó, akkor konstruálható egy Z" támadó, amely nem elhanyagol- 
ható sikerrel oldja a DDH-problémát, s ezzel ellentmondásra jutunk. A Z" 
támadó Z számára szimulálja a kulcsgenerálást, a kódolást és a dekódolást. 
Az egyszerűbb megkülönböztetés kedvéért alább a Z algoritmust nevezzük 
röviden támadónak, Z" algoritmust szimulátornak (18.3. ábra). 

A szimulátor inputja (g1,g2,41,42), s azt kell megállapítania, hogy ez a 
négyes véletlen választás (továbbiakban R eloszlás szerinti), vagy us — g/, 
42 — g3 (továbbiakban D eloszlás szerinti). A szimulátor működése a követ- 
kező: 

18.5. Algoritmus. 


1. A szimulátor kulcsgeneráló algoritmusa x1, x2, yi, y2, Z1, 22 € Zg vélet- 

len elemeket választ, majd kiszámítja a 
c—gt82,d—gy82,h-eiez 

kulcselemeket, továbbá véletlenszerűen választ egy H hash függvényt 
(UOWHF,. Így a szimulátor (g1, £2, c, d, h, H) nyilvános kulcsot gene- 
rálja a (Z) támadó számára. 

2. A kódoló orákulum a következő: (a támadó által) adott mo, ms üzenetpár- 
hoz a szimulátor véletlenszerűen választ egy b bitet és az 

e— if um, ar — H(uj,un,e), v — 7 sétát! sszságai 


kiszámítása után (u, uw2, e, v) rejtett szöveg outputot adja. 
3. A dekódoló orákulum a valós dekódolás fentebb bemutatott lépéseit vég- 
zi, kivéve az m — e/uf lépést, amely helyett m — e/(uj 16) lépést végzi. 


Egy (14 , u, e, ) € G" négyest logy, (u) — log, (u2) esetén érvényes rej- 
tett szövegnek, ellenkező esetben érvénytelen rejtett szövegnek hívunk. 
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18.3. ábra. Redukció (Cramer-Shoup-rejtjelező) 


D eloszlás szerinti szimulátor input. Tegyük fel először, hogy a D eloszlás 
szerint választódott a szimulátor inputja, azaz az input (g1,g2,41, 2), ahol 
4 — 8], 42 — 85. Ekkor a kódoló és dekódoló orákulum szimulációja töké- 
letes: a támadó számára nincs különbség a valós és a szimulált környezete 
között, következésképp ez esetben az ind — cca2 szerinti sikervalószínűsége 
is azonos kell legyen. 
A szimulált kódoló pontosan úgy működik, mint a valós esetben: az r € Z, 
véletlen elemet nem kell választania, mivel az inputjaként kapott (g1, 82, 41, 
12) négyesben uz — g1, uz — g5 már tartalmazza ezt a véletlen kitevőt. A de- 
kódoló szimulátor — hasonlóan a valóshoz — elhanyagolhatóan kis valószínű- 
ségű eseménytől eltekintve visszautasít minden érvénytelen rejtett szöveget. 
A (Z) támadó nem ismeri az (xi, x2,y1,y2 ) titkos kulcselemeket, de azt 
tudja, hogy a következő 4 egyenletből álló rendszert elégítik ki: 


1. log, c — xi -- wxz a c nyilvános kulcselem alapján. 
2. log, d — yi 4 wy2 a d nyilvános kulcselem alapján. 
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Egy, a támadó által generált érvénytelen (4 , tő , e ,v ) rejtett szöveg csak 
akkor kerül dekódolásra, ha a dekódoló (orákulum) hiteles elem ellenőr- 
zőjét becsapja, azaz ha 

3. log v — rixi twrxa b arjyi -t arjwya, ahol log, g2 — w, logy, uj — 
Tr log 4 —wr9, ri A ra. 
Ha a kódoló orákulumot használja a támadó, annak outputja alapján: 

4. 1ogy, v — rxi tb wrx2 - aryi -4 arrwy2, amely azonban az első két egyen- 
lettel lineárisan összefüggő, így a kódoló kérdezése nem juttatja többlet 
információhoz a titkos kulcselemekkel kapcsolatban a támadót. 


Természetesen ez az egyenletrendszer ezen lineáris alakban nem áll a tá- 
madó rendelkezésére, mivel a diszkrét logaritmusképzés nehéz feladat, de 
ezen rendszer konkrét megoldása — szerencsére — nem is szükséges a bizo- 
nyításhoz. 

Az első három egyenlet (x1, x2,y1,y2 ) négy ismeretlent tartalmazza. Gon- 
dolatban átrendezve, elimináljuk a harmadik egyenletből például az x2, y2 
ismeretleneket az első két egyenlet felhasználásával, s eredményül 


log v — ax -4-byi 


egyenletre jutunk. A támadó nem ismeri a titkos kulcselemeket, ezért annak 
valószínűsége, hogy ezen utóbbi egyenlőség fennáll (és így v! elfogadásra 
kerül, mint , helyes" hitelesítő elem), 1/g , ami elhanyagolhatóan kicsi. 


R eloszlás szerinti szimulátor input. Tegyük fel most, hogy R eloszlás szerint 
választódott a szimulátor inputja, azaz az input (g1,82,41, 42), ahol u — gy, 
42 — 87, s nagy valószínűséggel ri 5 r2. Ekkor a támadó elhanyagolha- 
tóan kicsi valószínűségű eseménytől eltekintve nem képes sikeres üzenet- 
megkülönböztetésre. Ezt két lépésben látjuk be. Először megmutatjuk, hogy 
azon feltétel mellett, hogy a dekódoló orákulum minden érvénytelen rejtett 
szöveget elutasít, pénzfeldobásnál jobb lehetősége nincs a támadónak a meg- 
különböztetés feladatban. Második lépésként pedig azt, hogy elhanyagolha- 
tóan kicsi valószínűséggel fogad csak el a dekódoló érvénytelen rejtett szö- 
veget. 

Tegyük fel tehát, hogy tökéletes a dekódoló orákulum érvénytelen rej- 
tett szöveg elutasító képessége. A (Z) támadó nem ismeri a (z1,z2) titkos 
kulcselemeket, de azt tudja, hogy a következő egyenletekből álló rendszert 
elégítik ki: 

1. log, h— z1-- wza a h nyilvános kulcs alapján. 
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Feltételezésünk szerint egy, a támadó által generált (u , 1, e ,v" ) rejtett 
szöveg csak akkor kerül dekódolásra, ha az érvényes, azaz 


GYE GY? — (gy (ga en 


alapján 


2. r1og,, h— rz1--wr22 egyenlet fennáll, amely azonban az első egyenlet- 
tel lineárisan összefüggő, így további információt nem nyújt a támadónak. 


A kódoló orákulum segítségével kapható 
(u, u2,e,v), e—Y-mp, Yu? 


rejtett szöveg alapján 
3. log, Y— rizi 4 wr2za egyenlet áll fenn. 
Ezen első és harmadik egyenlet lineárisan független, s belőle a 


log Y— a-t bzz 


alakú egyenletet kaphatjuk. Mivel z2 a támadó számára ismeretlen, s véletlen, 
ezért ugyanez igaz y vonatkozásában is. Ezt összevetve az m, üzenet 


e—y:m 


alakú kódolásával láthatóan one-time-pad típusú kódolást kaptunk, követke- 
zésképp a támadónak pénzfeldobásnál nincs jobb lehetősége a b bitre ho- 
zandó döntésnél. 

Most már csak azt kell belátnunk, hogy elhanyagolhatóan kicsi valószínű- 
séggel fogad csal el a dekódoló érvénytelen rejtett szöveget. A módszer az 
eddigiekhez hasonló. Azt vizsgáljuk, hogy a támadó számára ismeretlen, vé- 
letlen választású (xi, x2,y1,y2 ) kulcselem négyes milyen egyenletrendszert 
elégít ki. Ez az egyenletrendszer a következő: 


1. log, c — xi -H wx2 a c nyilvános kulcs alapján. 
2. log, d —y1--wya ad nyilvános kulcs alapján. 


3. log v — rjxi tt wrox2 4 arjyi t arawy2 a (u, u,e,v) kódoló output 
alapján. 
A támadó (uj , u, el, v") érvénytelen rejtett szövegéből, ahol log, g2 — w, 
logy, té) — 1, logy u — wr), ri A ra, GZ — H(ud a, e") kapjuk 
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4. logyv —rix1--wrxa torgyi 4 orgwy2-t. 
Vizsgáljuk a három lehetséges esetet (1 , 16, e ,v" ) négyessel kapcsolatban- 


1) (4) — (420), vé 
Ez nem lehetséges, mivel a hitelesítő leképezés egy függvény. 


ii.) (u 6) A (u u2e), aA o 
Ez esetben a fenti négy egyenletből álló egyenletrendszer együtthatómátri- 
xának determinánsa nemzérus: 


w(r2—r)(r2—n)(a— a) 70, 


ezért csak egyetlen (xi, x2,y1.y2 ) kulcselem négyes mellett van megoldása. 
Mivel a kulcselemek véletlenek a támadó számára, így a siker valószínűsége 
— a fenti egyenletrendszer kielégülése — elhanyagolható valószínűségű. 


iii.) (ue) A (u,u2,e), a — oz 

Ez nem lehetséges nem elhanyagolható gyakorisággal, mivel ez ütközés elő- 
állítását jelentené, s ellentmondana annak, hogy H hash függvényt UOWHF 
családból választottuk. Mivel az — enyhébb feltételt jelentő — univerzális 
hash függvényt (UOWHEF) tételeztünk fel az ütközésmentes hash függvény 
(CRHEF) helyett, ezért ezen állítás még magyarázatot igényel. Ha iii.) fennáll- 
hatna, akkor támadót kaphatnánk az UOWHF ütközésmentességének meg- 
törésére. 

Ennek belátásához módosítsuk a kódoló orákulumunkat úgy, hogy vé- 
gezze el az összes korábbi lépést, de (wi, u2, e, v) rejtjeles szövegbe vé- 
gül is véletlenszerűen választott e kerül. Ezen módosított szimuláció a tá- 
madó szemében nem különböztethető meg az eredeti szimulátortól mindad- 
dig, míg a iii.) esemény elő nem áll, azaz amikor a támadó ütközésre jut. Mi- 
vel (u, w2, e), a H függvény argumentuma független H választásától, ezért 
azt választhatnánk azelőtt is, hogy a H függvényt kiválasztjuk, következés- 
képp az UOWHF ütközés feltételét is teljesíteni tudnánk nem elhanyagolható 
valószínűséggel. a 
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18.3.  Rejtjeles szöveg módosíthatatlanság biztonság 


Ezen biztonság szerint egy támadó nem tudja a rejtett szöveget úgy módosí- 
tani, hogy a módosított rejtett szöveghez tartozó nyílt szöveg szándékainak 
megfelelően megváltozzon az eredeti rejtett szöveghez tartozó nyílt szöveg- 
hez képest. Például egy kulcsfolyamatos rejtjelezés nem nm-biztonságú, mi- 
velekkor mod 2 összegzéssel adjuk össze a kulcsbitet a nyílt szöveg bittel, s 
így egy támadó invertálva egy rejtett bitet közvetlenül invertálja a megfelelő 
nyílt szöveg bitet. Mielőtt formálisan definiálnánk ezen biztonságfogalmat, 
néhány további motiváló példát mutatunk be. 


18.4. Példa. Aukciós ajánlattétel lopása: 

Tekintsük a következő aukciós protokollvázat, ahol B az egyik ajánlattevő, 
S a kikiáltó (eladó). Az ajánlattételi szakasz kezdetének kulcslépése: 

Ba S : Epx(B, 10000Fr) 

Az ajánlattételi szakasz lezárása után az ajánlatok felfedésének kulcslépése 
a következő: 

B S: B, 10000 Ft, skg, 

azaz ajánlattételkor az ajánlattevő elküldi a nevét, valamint az ajánlati össze- 
get, saját publikus kulcsával rejtjelezve. Az ajánlattételi szakasz lezárása 
után felfedi a titkos kulcsát. Tegyük fel, hogy Goldwasser-Micali-rejtjelezőt 
használunk a bizonyított biztonság kedvéért. Ez a rejtjelező bitenkénti rejtje- 
lezést végez. Ezért az Eprp(B, 10000 Ft) rejtett szöveg Epx,(B), Eprp (10000 
Ft) felekre bontható. Egy C támadó el tudja lopni B ajánlatát, kicserélve az 
első felet az Exp(C) rejtett szövegre. C támadó tehát anélkül módosította 
szándékai szerint a rejtett szöveget, hogy megfejtette volna. 4 


18.5. Példa. Távoli pénzfeldobásos döntés: 
B és C személyek távol vannak egymástól, egymásban nem bíznak meg, s 
szeretnének döntésre jutni valamiben. Tegyük fel, hogy a döntést pénzfeldo- 
bás jelleggel szeretnék meghozni. Ehhez a következő protokollt használják 

4) B-C Ex) 

(2 COB: Ex (5) 

(63) B.OC: skg 

(4) COB: skc 

(5) BC: res 
ahol s és r bitek 0, 1 értékű pénzfeldobás kimenetelek, továbbá E egy nyil- 
vános kulcsú rejtjelező. A felek megállapodása szerint, ha r€ s — 0, akkor B 
nyer, egyébként C nyer. Egy támadó az első vagy a második lépésben a rejt- 
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jeles szöveget manipulálva, az üzenetbitet invertálva megfordíthatja a vége- 
redményt. A támadónak ekkor sem kell ismernie a tényleges nyílt üzenetet 
(s vagy r értékét). É 


18.6. Példa. WEP támadása: 

A WEP (Wired Eguivalent Privacy) protokollban a kliens a TCP csomagját 
kulcsfolyamatos rejtjelezést nyújtó RC4 rejtjelező algoritmussal rejtjelezve 
küldi a WEP bázis állomásnak, amely dekódolja azt, s a nyílt üzenetet küldi 
tovább a szervernek. Kulcsfolyamatos rejtjelezésnél mod 2 összegzéssel ad- 
juk össze a kulcsbitet a nyílt szöveg bittel, ezért ha a támadó invertál egy 
rejtett bitet, közvetlenül invertálja a megfelelő nyílt szöveg bitet. A proto- 
koll szerint a dekódolt nyílt üzenet integritás-ellenőrzése nem érzékeny arra 
az esetre, ha két olyan pozícióban invertáljuk a biteket, ahol azok azonos 
értékűek (azaz (0,0) pár változtatása (1, 1) párra vagy viszont). Ha viszont 
ellentétes értékű biteken történt az inverzió, azt detektálja (azaz (1,0) pár 
változtatása (0, 1) párra vagy viszont). Integritásbiba detektálása esetén nem 
küld a szerver nyugtázó üzenetet, egyébként küld. Ennek ismeretében a tá- 
madó el tudja dönteni, hogy invertált bitpozíció párokon azonos vagy kü- 
lönböző nyílt szöveg bitek állnak. A támadónak tebát — ismét — nem kell 
ismernie a tényleges nyílt üzenetet. 4 


Ezen intuitív előkészületek után formálisan definiáljuk az nm-biztonság 
fogalmát: 


18.9. Definíció (nm-biztonság). Egy (G,E,D) nyilvános kulcsú rejtjelezés 
szöveg módosításával szemben (t(n),e(n))-biztonságú, ha az üzenetek M 
tere feletti tetszőleges üzeneteloszlás és üzenetpárok feletti tetszőleges R : 
MxM — (0,1) reláció esetén, továbbá t(n) erőforrás-korlátú, tetszőleges 
Z támadóhoz létezik olyan t(n) erőforrás-korlátú Z" támadó, hogy a 


Pr (R(mDa(Z0(pk, Epulm))))J— Pr (R(m,DA(Z(P)))) 
mEM meM 
(pks9).—G(n) (pk.s).—G(m) 
(18.10) 
differencia nem nagyobb, mint e(n), ahol 2? egy O orákulumhoz hozzáférő Z 
nm-támadó, amely orákulum nm — cpa-biztonság esetén hiányzik, míg nm — 
cca-biztonság esetén a Da, dekódolás. 


A (18.10) kifejezés értelmében tebát Z támadó Ex(m) rejtjeles szöveget 
kíván módosítani úgy, bogy a módosított rejtjeles szöveg olyan nyílt szöveg- 
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nek felel meg, amely R relációban áll az eredeti (m) nyílt szöveggel. A rejt- 
jelező nm-biztonságos, ba ezt csak elbanyagolbatóan nagyobb sikerrel képes 
tenni, mint az az azonos erőforrás-korlátú legerősebb támadó, amelynek nem 
áll az Epx(m) rejtjeles szöveg a rendelkezésére. 2" algoritmust szokás szimu- 
lációs algoritmusnak is nevezni. 

Az alábbi két tétel az nm-biztonság és az ind-biztonság kapcsolatát fe- 
jezi ki. 
18.10. Tétel. Ha egy nyilvános kulcsú rejtjelező nm — 0-biztonságos, akkor 
ind — 0-biztonságos is, ahol O € (cpa,ccal,cca2). 


Bizonyítás: Tegyük fel, hogy a rejtjelezőt egy Y? támadó (1, €) — ind-töri, 


ahol 0 cpa, ccal vagy cca2 orákulum, azaz létezik egy (mo,m1i) üzenetpár, 
amelyre a 


(Y9(mo,mi, E(mo,pk), pk) — 1) 


(Y9(mo,mi, E(mi, pk),pk) — 1) (18.11) 


Pr 
(pk.sk)—G(n) 

- Pr 
(pksk)—G(n) 


differencia nagyobb, mint €(n). Tekintsünk az üzenetek M halmaza felett 
egy eloszlást, amelynél az mo, mi üzenetek valószínűsége 1/2— 1/2. Az R 
reláció legyen a következő: R(u, v) — 1, ba u — v, illetve R(u, v)—0,bausv. 
Definiáljuk a 


29(pk,o) — Ex(mn) 


nm-támadót, ahol 1 — Y9(pk, mo, mi, c), továbbá c belyére rejtjelezett üze- 
net kerül. Megmutatjuk, hogy (18.11) fennállása esetén, a rejtjelező nem nm- 
biztonságos. Meg kell mutatnunk, hogy a Z" legjobb szimulációs algoritmus 
mellett is a 


Pr (R(m,Ds(Z0(pk,Epr(m))))J— Pr  (R(m,D4(Z(pk)))) 
meM meM 
(pk,sk)—G(n) (pk,sk)—G(n) 


(18.12) 
differencia nagyobb, mint e(n)/2. Vegyük észre, hogy a (18.12) különbség 
második tagja: 

e 44 sz 
seta 70 -Dsa(Z(pk))) — 1/2. 


18. Biztonságos nyilvános kulcsú rejtjelezés 391 


Az első tag: 

R(m, Da(Z(pk, E, ei 
vélt (R(m, Da(Z7(pk, Epx(mo))))) 
(pkssk)—G(n) 
gs seb (Y9(pk, mo, mi, Epx(m)) — b) 

(pksk)—G(n) 


1 
— 2 (pkisk)—G(n) 
Hp 
2 (pk.sk)—G(n) 
£ 
- P Y9(pk, mo, mi, Epx(m1)) — 1 
2 ető ( pr(m))— 1) 
1 
-4-(1- Pr 
2( (pk,sk)—G(n) 
5 1/27-e(n)/2. 


(79(pk, mo, mi, Epx(mo)) — 0) 


(Y9(pk, mo, mi, Epx(m1)) — 1) 


(19(pk, mo, mi, Epr(mo)) — 1) 


ai 


18.11. Tétel. Létezik olyan rejtjelező, amely ind — cpa-biztonságos, de nem 
nm — cpa-biztonságos. 


Bizonyítás: Legyen (E, D, G) egy ind — cpa-biztonságos rejtjelező. Konstru- 
álunk ennek alapján egy (E",D",G") rejtjelezőt, amely ind — cpa-biztonsá- 
gos, de nem nm — cpa-biztonságos. Legyen Ery(x) — (0, Epx()], azaz egy 
zéró bittel bővítjük a rejtjeles üzenetet. Legyen D(,[b,y] — Dsx(y), azaz a de- 
kódolás figyelmen kívül hagyja a zérus bitet. (E", D, G") rejtjelező nyilván 
ind — cpa-biztonságos, hiszen egy konstans bittel növeltük a rejtjeles blok- 
kot: ugyanis, ha két üzenet sikeresen megkülönböztethető lenne a megnövelt 
blokkhosszú rejtjelezés esetén, akkor a megkülönböztető algoritmus ugyan- 
ezen két üzenetet az eredeti rejtjelezés esetén is sikeresen megkülönböztetné. 
Ugyanakkor (E",D",G") rejtjelező nem nm — cpa-biztonságos, ugyanis, ha 
E),(x) rejtjeles szöveget (1, Epx(x)] blokkra módosítjuk, a módosított rejtje- 
les szöveg is az eredeti nyílt szövegbe dekódolódik, azaz az azonosságreláció 
szerint teljes sikerű nm — cpa-támadást hajtottunk végre. DÖ 
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18.4. Feladatok 

18.1. Feladat. Mutassuk meg, hogy az ind — cpa-biztonság implikálja a kö- 

vetkezőket: 

1. Nehéz feladat a publikus kulcsból annak titkos párját kiszámítani. 

2. Nehéz feladat a nyílt szövég első bitjét meghatározni a rejtett szöveg alap- 
ján. 


18.2. Feladat". A 18.4., 18.5. és 18.6. példák esetén adja meg a 18.9. defi- 
níció szerinti R relációt! 


19. 


A véletlen orákulum bizonyítástechnika 


Véletlen orákulum alatt az alábbiakban egy olyan véletlen függvényt értünk, 
mely nyilvános elérésű, azaz mindenki által — így a támadó által is — hoz- 
záférhető, s amely ugyanazon inputra ugyanazon outputot adja (függvény), 
különböző inputokra viszont független, az output térben egyenletesen vá- 
lasztott outputot ad. 

A véletlen orákulum modell alkalmazását biztonság bizonyítása kapcsán 
több konstrukción is bemutatjuk, jelen pontban egy rejtjelező kódolás esetén. 
Véletlen orákulummal modellezük a konstrukció egy vagy több építőelemét 
(például egy bash leképezést), ami lehetővé teszi a biztonsági analízis egy- 
szerűbb végrehajtását. A fő kritika ezen módszerrel szemben a modellezés 
helyessége vagy egyáltalán annak jogossága. Ezen utóbbi izgalmas ellenve- 
tést nem elemezzük a tovabbiakban, ugyanakkor megjegyezzük a követke- 
zőket. Az is igen értékes, ba egy konstrukcióról (legalább!) egy modellen 
belül korrekt biztonsági analízist tudunk elvégezni. Ha ezen modellen belül 
a konstrukció , megbukik", akkor nagy valószínűséggel el kell azt vetni vagy 
át kell tervezni, míg ha nem, legalább annyit korrektül kijelenthetünk, hogy 
a konstrukció , átment" a véletlen orákulum modelles teszten. 

Az alábbi két — elsősorban elméleti — példa azt mutatja, hogy a véletlen 
orákulum modell feltételezése egy nagy erőforrás feltételezését jelenti, mi- 
vel ebben a , világban" természetes módon, biztonságosan állnak elő egyes 
kriptográfiai primitívek. 


19.1. Példa. Legyen R : (0, 1" — (0, 1)" egy véletlen orákulum. Ebben a 
modellben létezik (z,t/2")-biztonságú álvéletlen-generátor (PRG). 


393 


394 IV. Fejezetek a bizonyítható biztonság elméletéből 


G? generátorként közvetlenül az R orákulumot használjuk, azaz GR(x) — 
R(x) x mag esetén. 
Emlékeztetőül: G? : X — Y egy (zt, €)-biztonságú PRG, ha 


IP(ZF(GY69) —11—Pr(Zf)— HI Se 


tetszőleges, legfeljebb t erőforrás-igényű Z? megkülönböztető algoritmus 
esetén, ahol x és y az X, illetve Y halmazból véletlenszerűen választott vekto- 
rok (eddigi jelöléseinkkel x —, X, y —, Y). A valószínűséget x, y, R véletlen 
választása, valamint Z esetleges véletlen elemei felett számoljuk. 

A Z támadó feladata, hogy erőforráskorlátja mellett minél jobban meg- 
különböztesse R(x) valószínűségi változó eloszlását az y —, (0, 1)" való- 
színűségi változó eloszlásától. Ha t számú kérést küld Z az R orákulumnak, 
amelyek X1,.X2, . . . ,.r, és amelyre az R(x1), R(x2),...,R(xr) választ kapja, a 
következő két vektor valószínűségi változót kell megkülönböztetnie: 


U— IRO) Ra) RG2), RE], V - DRC1).RC2),. RG]. 


U és V valószínűségi változók eloszlása csak akkor különbözik, ha létezik i, 
hogy x; — x , mivel R véletlen függvényként azonos inputra azonos outpu- 
tot ad, különböző inputra pedig független outputot. Jelölje B a (3i, x; — x) 
eseményt. Nyilván 


Pr(Z(R(x)) — 115) — Pr(Z(y) — 1[5). 


Továbbá, annak valószínűsége, hogy a Z számára ismeretlen, és a PRG üze- 
meltetője által véletlen magként választott x megegyezik valamely általa vá- 
lasztott kéréssel, felülről becsülhető az unió becslési tecbnikával 


Pr(B) St/27 
módon. Innen 
IPZE(GFp9) — 1)— Pr(Zt(y) — 11 — 
— IPKZE(GY(x)) — 118) -Pr(B)  PT(ZE(GF (9) — 11B) -Pr(B) 
—Pr(Zf(y) — 118) -Pr(B) — Pr(Z?(y) — 11B) -Pr( B) 
— IPHZE(G?(x)) — 118) — Pr(Z?(y) — 1IB)1-Pr(B) 
S PríB) St/2, 


azaz GR egy PRG. 4 
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19.2. Példa. Legyen R : (0, 1)" — (0, 1)" egy véletlen orákulum. Ebben a 
modellben létezik (t,2t/2") biztonságú egyirányú függvény. 

Egyirányú függvényként (ismét) magát az R orákulumot használjuk. Emlé- 
kezetőül: fR : X — Y egy (t, €)-biztonságú egyirányú függvény, ba 


PEPI) — FS E 


tetszőleges, legfeljebb t erőforrás-igényű ZR invertáló algoritmus esetén, 
ahol x —, X. A valószínűséget x és R véletlen választása, valamint Z eset- 
leges véletlen elemei felett számoljuk. Z támadó inputja y — f R(x). Mivel 
f véletlenszerűen választott, ezért Z nem tehet jobbat, mint véletlenszerűen 
választ egy elemet az inputok teréből. A feladat annak a valószínűségnek 
a kiszámítása, hogy olyan x" elemet választ, amelyre f(x") — y. Ez az ese- 
mény bekövetkezik, ba A — (x" — x), vagy ha B — (x" A x : f(x") —y)- 
Mivel Pr(4A) — 1/2", illetve Pr(B) — 1/29", ezért t számú invertálási kísér- 
let (orákulum kérés) esetén — unió felső becsléssel —r(1/27-4-1/29") c 2/2" 
adódik. fj 


19.1. ind — cpa-biztonság véletlen orákulum modellben 


A véletlen orákulumos modellen belüli bizonyítások továbbra is redukciók, 
ahol valamely standard nehéz feladat megoldhatóságát redukáljuk a konstru- 
ált biztonsági algoritmusunk támadási feladatának megoldhatóságára: meg- 
adunk egy hatékony Z" algoritmust, amely futtatja a biztonsági algoritmu- 
sunkat sikeresen támadó hatékony Z algoritmust, s ennek eredményeképpen 
sikeresen megoldja a nehéz feladatot (19.1. ábra). 

Ahhoz, hogy Z lefusson, annak valódi környezetét (inputjait, orákulumait) 
Z által észrevehetetlen módon Z"-nek szimulálnia kell tudni. A szimulációt 
azonban nem mindig tudja Z" tökéletesen végezni, például akkor sem, ha 
nem nyilvános transzformációval kapcsolatos kérésre kell választ adnia. Ez- 
zel együtt is, a szimulációs sikertelenség valószínűségét elhanyagolható kis 
értéken (tipikusan biztonsági paraméterben exponenciálisan csökkenő felső 
korláttal) kellene tudnia tartani. Z valós környezetének szimulációja sikeré- 
ben nagyban segíti Z" szimulátort a véletlen orákulum modell. 

A biztonság bizonyítása során a fő lépések így a következők: 


1. Z" inputjának beágyazása Z inputjába. 
2. Az orákulum(ok) minél tökéletesebb szimulációja. 
3. Z" kívánt outputjának kinyerése Z kommunikációjából. 
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19.1. ábra. Redukciós technika és a véletlen orákulum 


4. Z"sikervalószínűségének minél pontosabb alsó becslése. 
Tekintsük az alábbi rejtjelezést: 


Ep) —[f().G() ex, (19.1) 


ahol 

f egy egyirányú csapda permutáció, 

r véletlen elem a permutáció ősképteréből, 

Xx a rejtjelezendő üzenet, 

G véletlen-generátor, amelynek outputja üzenet méretű, és amelyhez oráku- 
lum hozzáférése van a támadónak is (véletlen orákulum modell). 


ES(xp) egy véletlen bitvektor: r (egyenletes eloszlású) véletlen elem f 
permutáció input teréből, ezért f(r) is (egyenletes eloszlású) véletlen, to- 
vábbá G(r) is (egyenletes eloszlású) véletlen kimenet, ami r-től és x-től füg- 
getlen, így az üzenet egy OTP (one-time-pad) kódolását kapjuk, s a kódszó 
eloszlása is egyenletes. 

A (19.1) konstrukció mögötti intuíció a következő: akkor tudjuk csak de- 
kódolni az üzenetet, ha képesek vagyunk először az r ősképet előállítani, 
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mivel r ismerete nélkül G(r) a támadó számára egy véletlen bitvektor, s így 
x üzenet one-time-pad rejtjelezett. 

"Tegyük fel, hogy létezik egy sikeres Z ind — cpa-támadó, s mutassuk meg, 
hogy ez esetben konstruálható Z" támadó, amely adott y esetén, ahol y az f 
egy outputja, y — f(r"), sikerrel elő tudja állítani annak r" ősképét, azaz 
sikerrel invertálja f egyirányú csapda permutációt. 


] PESAKÉSSRT 
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19.2. ábra. Redukció 


Z inputja, az ind — cpa-biztonságnak megfelelően, a valós (nem szimu- 
lált) környezetében mo, üzenetpár valamelyik tagjának ES (mp) rejtjezett- 
jét várja a kódoló orákulumtól. Z" inputja az invertálandó y, és Z" kisorsol 
egy megfelelő méretű s véletlen elemet, majd egy y" — (y,s) , rejtjelezett" 
szöveget ad vissza Z számára. 

A véletlen orákulum modell alkalmazása segít Z" számára áthidalni azt a 
problémát, hogy r" ismerete nélkül egy nem véletlen orákulummal helyette- 
sített, valós G leképezés esetén az r" ősképet kellene tudni kitalálnia, hogy 
konzisztens lehessen a rejtjelezett szöveg az mo, mi üzenetpárral. Ha ugyanis 
G véletlen orákulum, akkor G(r) Em, OTP kódolás lévén, a kódolás ered- 
ménye véletlen és m-től független. Vagy másként megfogalmazva, (y, 5) tet- 
szőleges m,-vel konzisztens, abban az értelemben, hogy G(r) — sEm,, azaz 
lényegében konzisztensre definiáljuk a véletlen orákulum kimenetét. 
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Z feladata az, hogy ((y,s),mo,m1i) input alapján a b-re sikeres döntést 
bozzon az ind — cpa-biztonság definíciójának megfelelően. Z" figyeli, hogy 
Z milyen orákulum kérésekkel fordul G orákulumhoz. Legyen B az az ese- 
mény, hogy ezen kérések között szerepel r", amit Z" ellenőrizni tud, hiszen 
f nyilvános. Azaz Z" az f(r) — y egyenlőség fennállását ellenőrzi minden r 
kérésre. Ha az ellenőrzés sikeres (B teljesül), akkor Z" outputja r". Z siker- 
valószínűsége az indirekt feltételezés szerint nem elhanyagolható, így 


1/2--€ c Pt(Z sikeres) 
— Pr(Z sikeres] B) Pr(B) -t Pr(Z sikeres] B) Pr(B) 
S 1-Pr(B) -4-Pr(Z sikeres [B) 
S Pr(B) -- 1/2, 


ahol felhasználtuk, hogy B esetén, azaz ha Z nem kérdezi r" inputtal G oráku- 
lumot, akkor Z" szimulátornak pénzfeldobásnál nincs nagyobb esélye G(r) 
kitalálására. Következésképp Pr(B) 5 €, ami ellentmond f egyirányú tulaj- 
donságának. 


20. 


Biztonságos digitális aláírás 


Tekintsünk egy (G, Sig, V ) nyilvános kulcsú aláíró sémát, ahol G, Sig, V ran- 

domizált polinomiális idejű algoritmusok a következők: 

1. Kulcsgeneráló algoritmus: G : 1" 5 (PK,SK), ahol PK és SK a nyilvános 
illetve titkos kulcsok tere. 

2. Aláíró algoritmus: Sig : SK x (0,1)" — Y, ahol Y az aláírások tere. 

3. Aláírást ellenőrző algoritmus: V : PK x (0,1)" xY — (0,1), ahol 1 out- 
put a sikeres ellenőrzésnek felel meg. 

Egy (G, Sig, V ) nyilvános kulcsú aláíró séma (t,g,€)-biztonságú, ha bár- 
mely Z5i8 hatékony algoritmus esetén, amely a Sig aláíró orákulumnak g kér- 
dést tehet fel, t ideig futhat, annak a valószínűsége, hogy outputján előállít 
egy új, az orákulumtól korábban nem kérdezett [m/,y] (üzenet, aláírás]-párt, 
legfeljebb €, azaz 


ha E B — 275 
me (Vrelmís) — 1, ahol (my) SZPO) Se 200 


illetve tömörebben 


Si fe. 
exe (VPr(Z 8(pk)) —1) Se. (0.2 
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20.1. Biztonságos one-time aláírás 


Legyen f : (0, 1)" — (0, 1" egy egyirányú permutáció. Egy m € (0, 1) üze- 
net aláírásához véletlenszerűen generálunk 2/ darab, egyenként n bit méretű 
blokkot, amelyet titokban tartunk, s ezek együttese képezi az sk titkos kul- 
csot. A titkos kulcs n bites blokkjainak f szerinti leképezésével kapható 2/ 
darab n bit méretű blokk együttese alkotja a pk nyilvános kulcsot. Tehát 


sk— ((riori1),-.. (ron) 


Ppk—((f(ro), f(rin)),....:(f(ro), f(rin))). (20.3) 


Az m üzenet aláírását bitenként képezzük: ha m; — 0, akkor az aláírás rip, 
míg ha m; — I, akkor az aláírása rt , így 


Sig(m) — (rim. Fm)- (20.4) 
A V ellenőrző algoritmus az 
[m, Sig(m)) (20.5) 


input, a pk nyilvános kulcs és f leképezés felhasználásával üzenetbitenként 
ellenőrzi az aláírás helyességét. 


20.1. Tétel. Tekintsük a (20.3)-(20.5) aláíró algoritmust. 

a.) Ha a támadó legalább két kéréssel fordulhat az aláíró orákulumhoz, 
továbbá I 2 2, akkor sikervalószínűsége 1, azaz az aláírás séma (t,2,1)- 
biztonságú. 

b.) Ha a támadó csak egy kéréssel fordulhat az aláíró orákulumhoz és f 
egy (t,€)-biztonságú egyirányú permutáció, továbbá I 2 1, akkor az aláírás 
séma (t, 1,2€)-biztonságú. 

Bizonyítás: 

a.) Z támadó aláírást kér a 0! és 1! üzenetekre, amivel a titkos kulcs birto- 
kába jut. Az / 2 2 feltétel biztosítja, hogy ezek után a támadó választhat új 
üzenetet, amelyre aláírást tud adni (ti. / — 1 esetben 0 és 1 a két lehetséges 
üzenet). 

b.) A bizonyítás indirekt. Tegyük fel, hogy az aláírás séma (z, 1, 2€)-törhető 
egy Z támadó által, azaz Z sikervalószínűsége nagyobb, mint 2£. Z" támadó 
egy y — f(x) inputra az x inverzet szeretné kiszámítáni. Z" támadó, a Z szá- 
mára megkülönböztethetetlenül, G és Sig helyett G" és Sig" szimulált algorit- 
musokat nyújtja a következőképp: 
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Z kulcsgenerálás kérése esetén G" kisorsol egy n bites r véletlen blokkot, 
majd egy véletlen bit alapján (, feldob egy pénzt") a következő választ adja: 
ha 0 a kimenetel, akkor G" válasza Kg — [pk — (f(r),y), sk — (r,?)], ha pedig 
1 a kimenetel, akkor G" válasza Ki — (pk — (y, f(r)), sk — (2,r)), ahol ,?" 
azt jelzi, hogy Z" nem tudja szimulálni ezeket a mennyiségeket, mivel nem 
ismeri y inverzét. 

Ezután Z" futtatja Z algoritmust, amely legfeljebb 1 kéréssel fordul a Sig" 
szimulált algoritmushoz. Ha K; volt a kisorsolt kulcs, és Z az m — b, egy 
bites üzenetre kér aláírást, akkor Sig" szimulátor helyesen képes megvála- 
szolni, mivel ekkor válasza r. Ha azonban K;, volt a kisorsolt kulcs, és Z 
az m — b, egy bites üzenetre kér aláírást, szimulációs hiba keletkezik. Ha 
ilyen módon Sig" sikeres a hozzá intézett kérés megválaszolásában, s ezek 
után Z sikeresen képes új aláírást generálni, ez azt jelenti, hogy kiszámítja 
y ősképét. Következésképpen ezen ősképszámítás sikervalószínűsége (Z" si- 
kervalószínűsége) nagyobb, mint 1/2- (28) — E in) 

Megjegyezzük, hogy b.) állítás általánosítható / bitnél hosszabb üzenet 
esetére. 

Az alábbiakban az RSA algoritmus felhasználásával képzett aláírást, s a 
kapcsolatos algoritmusok biztonságának főbb elemeit tekintjük át. 


20.2. Aláírás az RSA algoritmus felhasználásával 

20.2.1. Egyszerű RSA aláírás 

Legyen az m üzenet legfeljebb egy blokk méretű, s az aláírás az alábbi: 
Sig(m) —m" (mod N). (20.6) 


A (20.6) aláírás támadásához kihasználhatjuk az aláíró leképezés multi- 

plikatív tulajdonságát, azaz a tetszőleges mi, m2 üzenetpár esetén fennálló 
Sig(mi : m2) — Sig(mi) - Sig(rm2) (mod N) 

összefüggést: Az aláíró orákulumtól kérjünk aláírást például az mi — 2, il- 
letve az m2 — 2-m üzenetekre, amely alapján előállíthatjuk az m üzenet- 
hez tartozó aláírást. Ugyanis Sig(2 -m) — Sig(2) - Sig(m) (mod N) alapján, 
Sig(m) — Sig(2)7! - Sig(2-m) (mod N), ahol Sig(2) inverze modN létezik, 
mivel Sig(2) és N relatív prímek. 

Sőt, a (20.1) biztonság-definíció esetén sikerrel lehet támadni az egyszerű 
RSA aláírást anélkül is, hogy egyáltalán kéréssel fordulnánk az aláírás orá- 
kulumhoz, azaz g — 0 esetben is! Tekintsünk ugyanis egy m — y" (mod N) 
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alakú m üzenetet. Ennek az üzenetnek az y nyilván aláírása, s ehhez a táma- 
dáshoz csak a nyilvános kulcsot használtuk. 


20.2.2.  Lenyomat aláírása 


Ne korlátozzuk az üzenet hosszát egy blokk méretre, s alkalmazzuk a lenyo- 
matképzés technikát. Egy m üzenet és H lenyomatképző (hash) függvény 
esetén tekintsük a 


Sig(m) — [00...00JAH (m)]" . (mod N) (20.7) 
aláírást, ahol zérusokkal teljes blokkra egészítjük ki a lenyomatot a felső 
helyiértékeken (hash-and-sign). 

Ez az algoritmus is támadható, például, ha a H függvény nem egyirányú, 
Vagy ha multiplikatív tulajdonságú (azaz H(mi : m2) — H(m1) : H(m2) tet- 
szőleges mi ,m2 üzenetpár esetén): ha H függvény nem egyirányú, akkor egy 
ismert aláíráshoz a támadó hatékonyan kiszámolhat egy csaló ősképet (üze- 
netet). Ha A függvény multiplikatív, akkor az aláírás is örökli a multiplikatív 
tulajdonságot, s ez esetben a fentiekben említett támadás alkalmazható. 


20.2.3. PKCS-I szabványú aláírás 
Egy m üzenet és h hash függvény esetén a 


Sig(m) — [LFF . .. FFOOJH(m)]" (mod N) (20.8) 
aláírást alkalmazzuk, azaz az előző, lenyomat aláírása módszerbeli, zérusok- 
kal való feltöltés helyett IFF ...FFOO feltöltést alkalmazzuk (ahol 1, F,0 
hexadecimális karakterek). Ekkor már nem működik egy multiplikatív le- 
nyomatképző függvény esetére bemutatott fenti támadás. Támadás ugyan 
még nem került publikálásra ezen szabványos aláírás ellen, ennek ellenére 
a (20.8) formulabeli módosítás nem tekinthető lényegi előrelépésnek, s tá- 
madhatósága valószínűsíthető. 


20.2.4. Teljes blokknyi lenyomat (Full Domain Hash, FDH) 

FDH hash függvény outputjának mérete megegyezik az RSA blokkméretével 

(nem annak töredéke), azaz egy m üzenet és FDH hash függvény esetén a 
Sig(m) — FDH(m)" (mod N) (20.9) 

aláírást alkalmazzuk. 


20. Biztonságos digitális aláírás 403 


Az alábbiakban ezen aláírás biztonságát analizáljuk véletlen orákulum 
modellben: a támadó hozzáfér az FDH hash függvényt modellező, véletlen 
függvényként működő H( publikus véletlen orákulumhoz, amelyhez legfel- 
jebb u darab kérést intézhet. Ezenkívül továbbra is hozzáfér a Sig aláíró orá- 
kulumhoz, amelyhez legfeljebb g kérést intézhet. 


20.2. Tétel. Tegyük fel, hogy az RSA (u,€)-biztonságú csapda permutáció. 
Ekkor a véletlen orákulum modellben a (20.9) aláírás séma 

a.) (u,g — 0,€)-biztonságú (a támadó nem használja az aláíró orákulumot), 
b.) (u,g— 1,6)-biztonságú, ahol 6 — (u: £-27")/(1 — 1/u) (a támadó egy 
kérést intéz az aláíró orákulumhoz). 


Bizonyítás: a.) A bizonyítás indirekt. Tegyük fel, hogy létezik egy Z algorit- 
mus, amely €-nál nagyobb valószínűséggel töri a (20.9) algoritmust. Meg- 
mutatjuk, hogy ekkor létezik egy Z" algoritmus, amely egy RSA kódolású z 
rejtett szöveget €-nál nagyobb valószínűséggel dekódol. 

Z" algoritmus Z algoritmusnak a H orákulumhoz szánt kérését " hash 
orákulum-szimulátorhoz küldi, amely szimulátor működése a következő: 
Legyen Z i-edik kérése m;, amelyre 


H(m;)—ríz (mod N) 


a válasz, i — 1,2,... , u, ahol r; —, (0,1)" véletlen elem. Z számára H és H" 
output eloszlása megkülönböztethetetlen, így a szimulált esetre is megmarad 
Z aláírástörő sikergyakorisága. Z feltételezésünknek megfelelő gyakoriság- 
gal ki tudja számolni valamelyik válasz dekódoltját, azaz Z outputja, siker 
esetén 


[m;, (rf2)" — rizó (mod N)). 


Z" először m; alapján kikeresi r; véletlen elemet (képes rá, hiszen ő futtatja a 
H! szimulátort, s így annak minden részletéhez hozzáfér), majd egy modulá- 
ris osztással előállítja z rejtett szöveg 27 dekódoltját, amivel ellentmondásra 
jutottunk. Mivel Z" akkor és csak akkor sikeres, amikor Z sikeres, így a két 
sikervalószínűség is azonos. Z" sikervalószínűsége (azaz RSA-törés valószí- 
nűsége) azonban nem lehet nagyobb, mint e, így az aláírást támadó Z siker- 
valószínűsége sem lehet ennél jobb. 


b.) Z" kisorsol egy j, 1 £ j £ u sorszámot véletlenszerűen. A H" és Sig! 
szimulátorok működése legyen a következő: H"-höz intézett j-edik kérés 
esetén annak válasza z, továbbá, ha i / j, akkor H"(m;) — rf (mod N) a 
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válasz. Így, ha Sig" szimulátorhoz küldött kérés nem z, akkor Sig" (m;) — Tr; 
(mod N). Z" azonban nem tud helyes alírást szimulálni akkor, ha ezen ké- 
rés z. 
Tekintsük az alábbi eseményeket: 
1. Sim — (Z szimulálni képes a valós aláíró orákulumot) , 
2. Sim — (Z egy z , lenyomatra" kér aláírást az aláíró orákulum-szimulátortól 
(szimulációs hiba esemény) ), 
3. C — (Z egy z , lenyomatra" számol ki aláírást) , 
4. F — (Z az aláírást olyan üzenetre adja, amelyhez megkérdezte H oráku- 
lumtól (azaz H" szimulátortól) a lenyomatot), 
5. U — (Z sikeres, azaz egy helyes aláírás outputot ad). 
Ezen jelölések, valamint Pr(UlSim) — 0 felhasználásával kapjuk 
Pr(U) — Pr(UlSim) Pr(Sim) 4-Prf(UlSimyP(Sim) 
— 0-Pr(Sim) 4-Pr(UlSim) Pr(Sim), 
azaz Pr(U) — Pr(UN Sim). Indirekt feltételezésünk szerint az állítással el- 
lentétben Pr(U) 5 ő. Ekkor 
5-Pr(Sim) c Pr(UISimOF)Pr(SimoF) 4-Pr(UISimÓ F) Pr(SimnF) 
7-2".Pr(SimnF)-4P(UNSimnF) 
S2"4P(UNSimnF) 
u 
2274 EPHUNSimn(H (mi) aláírása, (Z által) )), 
í—I 
ahol az első egyenlőségnél felhasználtuk, hogy ha Z nem kérdezi meg a le- 
nyomatot /" orákulum-szimulátortól, akkor csak találgatni képes rá, s így 
PrfUlSimnF) — 27". PríSim) — 1— 1/u összefüggés, valamint ő válasz- 
tásának felhasználásával 
14 
57 XPHUNSimn(H"(m;) aláírása) ) 2 . (20.10) 
izi 
(20.10) bal oldala j egyenletes véletlen választása miatt 
Pr(UNSimn(H(m;) aláírásay) 
valószínűséggel egyenlő, amelynél nagyobb a 
Pr(UN(H(m;) aláírásab) 
RSA-törés sikervalószínűsége, s ezzel ellentmondásra jutottunk. in 


21. 


Üzenethitelesítés (MAC) biztonsága 


Ha blokk-rejtjelezőt alkalmazunk, ahol a nyílt szövegek halmaza ritkított 
(pl. valamely formátum megkötésnek tesz eleget), akkor a rejtjeles szöve- 
get csak elhanyagolható valószínűséggel lesz képes a támadó úgy módo- 
sítani, hogy a dekódolt szöveg a ritka nyílt szöveg halmazba essen. Ezen 
gyakorlati módszer ellenére kijelenthetjük, hogy a rejtjelezés nem alkalmas 
üzenetek biztonságos hitelesítésére. Tekintsük ugyanis a one-time-pad vagy 
a Goldwasser-Micali-rejtelezést. Egy támadó képes előállítani egy korábban 
nem látott rejtjeles szöveget, amely egy legális nyílt üzenetbe dekódolódik: a 
rejtjeles szöveg bármely bitjének invertálása tekinthető úgy, mintha az adott 
bitpozícióban invertáltuk volna a nyílt szöveg bitet. A támadó ugyanis is- 
merheti a nyílt szövegek formátumát, amelyeknek vannak rögzített helyen 
megállapodott tartalmú mezői (dátum, pénzösszeg stb.), s így ezen mezők 
formátumát tartó módosítást végez. 

Jobb megoldás a kriptográfiai ellenőrző összeg (MAC, Message Authenti- 
cation Code) alkalmazása (lásd 6. fejezet). Jelen fejezet témája a biztonságos 
MAC konstrukció. A MAC módszer két algoritmust tartalmaz, a generáló 
(T) és az ellenőrző (V) algoritmust: 


1. MAC generáló algoritmus: T : K x (0,1)" — S, ahol K a kulcstér, egy m 
üzenet a (0, 1)" halmaz eleme, továbbá S a MAC ellenőrző összegek tere. 


2. MAC ellenőrző algoritmus: V : K x (0,1)" x S— (0,1), ahol 1 output a 
sikeres ellenőrzésnek felel meg, azaz amikor 


V.(m, Tx(m)) — 1 Vm,k. 
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Egy Z támadó a számú kérést mi, . . . mg küldhet egy MAC generáló orá- 
kulumnak, amelyre u, . . . , ug választ kapja. A támadó tehát először a küldő 
féltől kér MAC ellenőrző összegeket általa választott üzenetekre, s ezután 
kiszámol egy csaló (üzenet, MAC) párt, amelyet elküld a vevő félnek (ellen- 
őrző algoritmusának). 

Megkülönböztetjük a gyenge és az erős támadót, sikervalószínűségének 
alábbi két definíciójával: 


21.1. Definíció (gyenge MAC támadó). Legyen 
Advp(Z) — PAZ outputja (m, u) : Va(m, u) — 1, Vim A mi). 


Egy F — (T,V) MAC algoritmus (t,g, u, €) gyengén biztonságos, ha fennáll 
az AdvF(Z) £ € egyenlőtlenség tetszőleges (t,g, u) erőforrás-korlátú táma- 
dóra, azaz, ha 

AdvF(t,a, 4) — max Advp(Z) S €. 


(t a támadó futási idő korlátja, g az orákulum-kérések számának korlátja, u 
pedig az orákulum-kérések plusz a csaló üzenet összhossza.) 


21.2. Definíció (erős MAC támadó). Legyen 
Advr(Z) — BZ outputja (m, u) : Valm,u) — 1, Vi, mA mi, Vj, u A u). 


Egy F — (T,V) MAC algoritmus (t,g, u, €)-erősen biztonságos, ha tetszőle- 
ges (t,g, 1) erőforrás-korlátú támadóra teljesül, hogy Adv4.(Z) £ €, azaz, ha 


Advrp(t,g, 4) — max Advr(Z) S €. 


A két definíció között a különbség abban van, hogy az erős MAC támadó 
esetén nem megengedett, hogy egy megfigyelt ellenőrző összeghez konst- 
ruáljon új, illeszkedő üzenetet. Az erős-gyenge jelző értelmét az adja, hogy 
amennyiben egy támadó, azonos erőforráskorlát, azonos sikervalószínűség 
mellett új üzenethez új MAC-ot képes előállítani, az nehezebb feladatot old 
meg. Ha egy MAC algoritmus esetén nem létezik sikeres gyenge MAC- 
támadó, akkor nincs erős sem. 

A két biztonság-definíció ekvivalens olyan MAC algoritmus esetén, mely- 
re tetszőleges (m,u) párra V4(m,u) — 1 akkor és csak akkor áll fenn, ha 
T4(m) — u, azaz egy üzenethez nem tartozhat több, az ellenőrző algoritmus 
által elfogadott ellenőrző összeg. Ez esetben a két biztonság-definíció ekvi- 
valens. Az alábbiakban feltesszük ezen ekvivalencia feltétel teljesülését, s 
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ennek megfelelően (t,g, u, €)- biztonságról beszélünk. Például a gyakorlat- 
ban alkalmazott determinisztikus MAC ellenőrző algoritmusok a vett m üze- 
netre újragenerálják az ellenőrző összeget, majd az eredményt vetik össze 
vett ellenőrző összeggel, így az ekvivalencia feltétele teljesül. 

Ezen definíciók nem kezelnek egy fontos támadási esetet: egy korábbi, 
legális felhasználó által előállított (üzenet, MAC) pár újrafelhasználását, a 
visszajátszásos támadást (replay attack). Ez a fajta támadás csak akkor szűr- 
hető ki, ha az ellenőrző algoritmus állapottal is rendelkezik, s fel tudja is- 
merni egy korábbi üzenet visszajátszását. Ilyen állapotfigyelést segít az üze- 
netek sorszámmal vagy időpecséttel ellátása a MAC számítást megelőzően. 

Ha rögzített hosszúságú üzenethez kell kiszámítani a MAC-t, akkor ezt 
ideálisan egy megfelelő dimenziós véletlen függvénnyel tehetnénk biztonsá- 
gosan: 


21.3. Tétel. Ha R:X 0 Y egy véletlen függvény, továbbá TR — R, akkor 
FR — (TR, VR) MAC-algoritmus (2o,g, u, 1/IYI)-biztonságú. 

Bizonyítás: (Vázlat) Mivel a támadó új, addig nem látott üzenetre kell adjon 
ellenőrző összeget, ugyanakkor egy véletlen függvény új inputhoz tartozó 
outputja is véletlen, a támadó csak véletlenszerűen találgathat az ellenőrző 
összeg vonatkozásában, bármekkora is legyen az erőforrása. im] 


A véletlen függvényt biztonságos álvéletlen függvénnyel (PRF) helyette- 
sítve kapjuk az alábbi tételt: 


21.4. Tétel. Ha W : X — Y egy (t,g, 4, €)-biztonságú PR, és Tw — W, ak- 
kor az Fw — (Ty, Vw) MAC-algoritmus (t,g, u, E t-1/IYI)-biztonságos MAC. 


Bizonyítás: (Vázlat) A szokásos redukciós gondolatmenettel, indirekt bizo- 
nyítással történhet, ahol ha egy támadó töri a MAC-ot, akkor töri a PRF-t is. 
u 


Változó hosszúságú üzenetek esetén biztonságos MAC generálása további 
megfontolásokat igényel. Azaz, hogyan generáljuk az ellenőrző összeget, 
ha az üzenetünk a PRF input méretének többszöröse lehet. A CBC — MAC 
konstrukció biztonság-analízisére itt nem térünk ki, de két egyszerű példán 
keresztül érzékeltetjük a problémát. 


21.1. Példa. ECB módon rejtjelezzük az üzenet blokkjait, s a rejtjeles blok- 
kokat adjuk össze ( mod 2), amely összeg legyen a MAC: 

Könnyen látható, hogy ez a hitelesítési mód tökéletesen rossz: vegyünk egy 
m — [x,x] üzenetet, amely két blokk hosszúságú, s mindkét blokkja azonos, 
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hn bit hosszú bináris sorozat. Nyilván a csupa zérus blokk lesz a MAC ér- 
téke. Következésképp, ha m még nem szerepelt üzenetként (az adott kulcs 
használata óta), a támadás a fenti definíciók alapján sikeres: 


Advp(t,0,2n) — 1. 4 


21.2. Példa. A 21.1. példa MAC számítását bonyolítsuk annyival, hogy az 
üzenet blokkjait ugyan külön-külön rejtjelezzük, de rejtjelezés előtt egy üze- 
neten belüli blokksorszámmal látjuk el: Három MAC kérés alapján a támadó 
ki tud számítani egy hiteles (m, MAC(m)) párt egy korábban nem szerepelt m 
üzenetre: kérje ugyanis a MAC-ot [x,y], be,y"], b/,yl üzenetekre, amelyeket 
összeadva megkapja a MAC-ot [7 , y] üzenetre. Következésképp 


Advp(t,3,8n) — 1. 4 


A kitűzött feladatok megoldása 


1. fejezet 

1.1. Feladat: 

1. N.6(N) — N? TT (1 — 1/p) alapján, rendre, 312,486,240 adódik. 
PIN 


2. Ha a / I, az (a— 1)x — —b (mod N) egyenletnek pontosan egy megol- 
dása van N prímszám esetén. 
3. Ha b nem osztható (a — 1,N)-el. 


1.2. Feladat: 


1. Az a kulcselem multiplikatív inverzének léteznie kell mod N, aminek fel- 
tétele (a, N) — 1.N —26 —2-13 esetén 12 ilyen szám van az (1, 25] tarto- 
mányban. b kulcselem 26-féleképpen választható. Az a — I, b — 0 esetet 
kizárva (identitás transzformáció), a kulcstér mérete 311. 

2. Nem. Ha a forrás véletlenszerűen sorsol az ábécé elemei közül, akkor 
az ax szorzat is ilyen, következésképp az y rejtett szöveg és b kulcselem 
közötti kölcsönös információ zérus. 

3. Két olyan (x,y), (x,y) ismert nyílt-rejtett pár elegendő, amelyre (x — 
x/)"! mod 26 létezik. 

4. A betűnkénti rejtjelezés miatt a karakter-gyakoriságok az ábécé felett per- 
mutálódnak, de az értékek nem változnak. Ezért, ha van két szignifikánsan 
kiemelkedő gyakoriságú karakter az ábécében, akkor ezen gyakoriságok a 
rejtjelezés után is ugyanúgy léteznek. Ekkor statisztikai alapú támadással 
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rejtett szöveg elegendő mennyiségben történő megfigyelése után végre- 
hajtható a támadás: a legnagyobb gyakoriságú rejtett szöveg karakterek- 
hez tartozó nyílt szöveg karakterekre sejtést teszünk, s minden ilyen sejtés 
egy újabb egyenletet ad az ismeretlen kulcselemekre. Két ilyen lineárisan 
független egyenlet alapján kapunk sejtést a két kulcslemre, amelyek he- 
lyességét ismert szövegpáron teszteljük. 


1.3. Feladat: 
Nem. Ugyanis x — uN -t- v, y — wN -t- z jelöléssel y — z — av t-b (mod N) 


adódik, azaz a rejtett szöveg betűpár második karaktere csak a nyílt szöveg 
betűpár második karakterétől függ. 


1.4. Feladat: 


1. Nem. A kulcs entrópiára vonatkozó szükséges feltétel nem teljesül. 

2. A támadó általa választott nyílt szövegekhez kér rejtett szöveg párt a rejt- 
jelezőtől, majd ezen párok alapján próbálja a kulcsot megfejteni. A pél- 
dában: x — (0,0,0, .. . ) esetén yy — r, (y— rr?,r, ...), amellyel a valódi 
dekódolóval azonos titok birtokában maga is dekódolni képes. 

3. Az i-edik karaktertől kezdődően a dekódolt nyílt szöveg hibás lesz. 


1.5. Feladat: 


A pénzfeldobás sorozatot bitpárokra szeleteljük. Dobjuk el a 00 és az 11 pá- 
rokat, majd 01 — 0 és 10 5 1 hozzárendeléssel képezzük az új, már egyen- 
letes bitgyakoriságú sorozatot. A forrás bitsebessége átlagosan 1/4 részére 
csökken. 


1.7. Feladat: 
Igen. F, entrópia-sebessége: —(0,25 - log2(0,25) 4- 0,75 - log2 (0, 75)) - 5 — 
4,056 kbit/sec. F, entrópia-sebessége: 0,5 - 8 kbit/sec — 4 kbit/sec. Mivel 
az F, kulcsfolyam entrópia-sebessége nagyobb a rejtjelezendő F;, folyam 
entrópia-sebességénél, ezért ideális forráskódolás esetén folyamatos kódo- 
lás végezhető. 


1.8. Feladat: 


Nem. Például Pr(Y — IIX — a) —2/5, Pr(Y — IIX — b) — 1/5, azaz X és Y 
nem független. 
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2. fejezet 
2.1. Feladat: 


y7- Ax b, ahol y, x, b n bites bináris vektorok, A egy n x n bites biná- 
ris mátrix, x a nyílt szöveg, y a rejtett szöveg, K — [A,b] a kulcs. Lineáris 
egyenletrendszer megoldással történik a támadás. n-- 1 párra van minimáli- 
san szükség, amelyből n darab lineárisan független nyílt szöveghez tartozik. 


2.3. Feladat: 

1. 0, mivel az outputok w — (1, 1) súlyú lineáris kombinációja (bináris ösz- 
szege) konstans 0, 

2. 0, mivel az outputok w — (0, 1) súlyú lineáris kombinációja (a 2. kimenet) 
konstans I. 


2.9. Feladat: 


Igen. A jelöléseket egyszerűsítve, legyen x — (a,b) és y — (c, d) a rejtjelező 
input, illetve output blokkja, két felével megadva. Ígyc—apboki, d — 
boe(apbeki) Ek; — ag ki 8 ka, amelynek alapján ki — a pb E c, k2 — 
beced. 


2.10. Feladat: 


A DES egy rétegének struktúrájára tekintve az igazolás nyilvánvaló: a DES 
S-dobozok bemenete nem változik, mivel az iterációs kulcs is és az adat in- 
put félblokk is komplementálva van, s XOR összegük kerül a bemenetekre, 
továbbá a kimeneten ehhez a másik adat input félblokk komplementáltja adó- 
dik, azaz apb— ae b. 


1. Nem jelent könnyebbséget a támadó számára. 


2. A kulcstér keresés ideje felére csökkenthető. Tegyük fel, hogy m üze- 
netre, valamint ri komplemensére ismerjük a rejtett szöveget. Tekintsük 
(m,c1), (m,T2) nyílt szöveg-rejtett szöveg párokat, ahol cs — Ex(m) és 
72 — E,(m), s így a komplementálás tulajdonság miatt cz — Ej(m) össze- 
függés is fennáll. A kulcsok terét keressük végig, amelynek során egy k" 
tesztelt kulcs esetén megvizsgáljuk, hogy Ey(m) rejtett szöveg egyenlő-e 
ci vagy c2 rejtett szöveggel. Ha nem a válasz, akkor ezzel nyilván leelle- 
nőriztük mind a k/, mind pedig ki kulcsot, azaz egyidejűleg kettő kulcsot. 
Tehát egy kulcspár ellenőrzéséhez, egy kódolási és két komparálási lé- 
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pést hajtottunk végre. (Valóságos támadási körülményeket tekintve kicsi 
a valószínűsége, hogy nyílt szöveg blokk és komplemense egyidejűleg is 
előforduljon a kódolt blokkok között, illetve ezt célszerű elkerülni.) 


2.11. Feladat: 


1. Igen, végrehajtható, mivel ismerjük a rejtjeles szöveg redundáns struk- 
túráját, amit adott esetben az egy blokkbeli 8 paritásbit jelent. Annak a 
valószínűsége, hogy egy téves kulccsal helyes paritásúra dekódolunk egy 
rejtett szöveg blokkot, 2-8 . Annak a valószínűsége, hogy például 7 rejt- 
jeles blokk mindegyikét helyes paritásúra dekódoljuk téves kulcs mellett 
27-55, tehát ez esetben a ki nem szűrt téves kulcsok átlagos száma a kulcs- 
tér teljes végigkeresése után 256.2-56 — 1 lenne. Ezért például, 10 rejtjeles 
blokk megfigyelése elegendő lenne a gyakorlatilag egyértelmű kulcsazo- 
nosításhoz. 


2. Nem. 1/2 annak a valószínűsége, hogy egy téves kulccsal helyes paritá- 
súra dekódolunk egy rejtett szöveg blokkot, így annak a valószínűsége, 
hogy 50 rejtjeles blokk mindegyikét helyes paritásúra dekódoljuk egy té- 
ves kulcs mellett, 2759. A szűrésen átment kulcsok átlagos száma a kulcs- 
tér teljes végigkeresése után 256 .2-50 — 645. I. 


2.12. Feladat: 


1. Középen találkozás támadást alkalmazva egy (x,y) nyílt-rejtett szöveg- 
pár felhasználásával az összes kulccsal kódoljuk az x nyílt szöveget, s az 
eredmény z rejtett szöveget az alkalmazott kulcs indexével együtt tárol- 
juk (z,k) párokban, z szerint sorrendezve. Ez 256 . 16 byte méretű tárte- 
rület erőforrásigényt jelent. Ezután az y rejtett szöveget dekódoljuk egy 
k" kulccsal, s megnézzük, hogy a kapott w dekódolt szöveg szerepel-e a 
táblázatban. Ha szerepel, s mellette k kulcs állt, akkor (k,k") kulcspárra ju- 
tottunk. Ezen kulcspár helyességét egy további (x,y) nyílt-rejtett szöveg- 
páron teszteljük. Ha ezen teszten megbukik a pár, akkor folytatjuk a dekó- 
dolási lépésnél a még meg nem vizsgált kulcsok vonatkozásában. Ugyanis 
annak a valószínűsége, hogy egy téves kulccsal dekódolt szöveg beleta- 
láljon a táblázatba — a táblázat mérete és az összes lehetőségek aránya 
kapcsán — 256/2564 — 2-8 következésképpen kipróbálva az összes dekó- 
dolási kulcsot, átlagosan 25 .2-8 — 298 számú téves kulcspár keletkezik. 
A második nyílt-rejtett szövegpáron történő tesztelésnél, mivel egy téves 
kulcspár 1/25 valószínűséggel rendeli x/ nyílt szöveghez az y rejtett szö- 
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veget, ezért 298 számú téves kulcspárt tekintve legfeljebb 298 /264 — 2-16 
lesz annak a valószínűsége, hogy egy téves kulcspárra dönt végül is az al- 
goritmus. (A tényleges kulcspár — természetesen — mindig átmegy minden 
teszten.) 


2. A naív kimerítő kereséses támadás erőforrásigénye 2!!? számítási egység 
és elhanyagolható memóriaigény. 


3. A k kulcs r bitjét rögzítetten tartjuk, s ekkor az algoritmusbeli táblázat 
256-r méretű lesz, ugyanakkor le kell az algoritmust futtatni 27 táblázatra 
a különböző r bites rögzítések miatt. A memóriaigény 256-" (az egyes 
beírások 64-56 — r bit méretűek), míg a műveletigény 27256-r256 — 2112, 
azaz az idő- és memóriaigény szorzata nem változik. 


4. Nem sikerült. Ugyanis egy kódolási lépésként kezelve a két belső kódo- 
lást: Ex (Ex (x)) — Ex (x), az y — Exe(Ej, (x)) kétszeres kódolásra jutunk, 
amely ellen a fentiekben elemzett támadás némi erőforrásigény növekedés 
mellett ismét végrehajtható.0 


2.13. Feladat: 


Az első kódoló z kimenetét rögzítsük zérus blokkra. Ezt úgy érhetjük el, hogy 
az x nyílt szöveg blokkot x — D,,(0) alapján választjuk, ahol ki végigfut 
a 256 méretű kulcstéren. Minden egyes ilyen x nyílt szövegre kérjük az y 
rejtett szöveget a háromszoros kódolótól, majd ezen y rejtett szöveget az x 
szöveget előállító ks kulccsal dekódoljuk: w — Dx, (y) eredménnyel. A z— 0 
blokkot dekódoljuk sorra véve k2 kulcs értékeket, lépésenként: w" — Dr, (0) 
eredménnyel. A w — w/ egyenlőséget keressük. 


























d 
:-A8É9 els ZO b fr BABE xy. 
ki K2 ki 


21.I. ábra. Választott nyílt szövegű támadás a kétkulcsos háromszoros kódo- 
lás ellen 


Az erőforrásigény 3 - 255 nagyságrendű rejtjelezés művelet, 256 nagyság- 
rendű 64-56 bites ((w,k1)) elemekből álló memóriaigény. 


414 A kitűzött feladatok megoldása 


3. fejezet 
3.1. Feladat: 
e számítása: N— 55 5 p(N) ——4-10—40—2-2-2-5 5 e— 3. d számítása: 
40-13-31 6 1-40-4-(—13) .3—1—6 d——13—27 mod 40. D(x) — 
27-18 mod 55. 
3.2. Feladat: 
1. p(N) — 22-70 — 1540. 
2. P — 0.057 a következő alapján: 
p-9-PM)  ,  (m-D(2-0) 
m Pip? 
— 1. (P1P2—P—-mat) 1 41. d 
Pip2 PP  P2 Pip? 








3.3. Feladat: 


1. 1 — (3999996, 379) — a: 3999996 1-b 379. Az euklideszi algoritmus fel- 
használásával: 1 — (139) - 3999996 -t- (—1467017) - 379, ahonnan 
d — —1467017 — 2532979. 

2. 9(N)— (p—D(a— 0) —pg—(pt9) 41—N—(p--N/p) -- 1 alapján 
másodfokú egyenletre jutunk p-ben, ahonnan p — 2003, g — 1999. 


3.4. Feladat: 


A támadó elkészíti a lehetséges üzenetek kódolt megfelelőjét a nyilvános 
kódoló kulcs birtokában, s tárolja a (nyílt üzenet, rejtett üzenet) párok hal- 
mazát. Megfigyelve a csatornában az aktuális rejtett üzenetet, a tárolt párok 
halmaza alapján rekonstruálni képes az üzenetet. A védekezés módja a nyílt 
üzenet friss véletlen elemmel bővítése a rejtjelezést megelőzően. 


3.6. Feladat: 


s.Smételt négyzetre emelés és szorzás" algoritmussal történő hatványozás 
okán. e — 2" 4-1 kitevő 1 moduláris szorzást és t négyzetre emelést igényel, 
azaz t1 a szükséges szorzási műveletek száma. Például e — 3 esetén I 
szorzás és 1 négyzetre emelés, e — 21$ 4.1 esetén 1 szorzás és 16 négyzetre 
emelés szükséges. 
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3.7. Feladat: 
1. Nem, 586 — 25 (mod 87). 
2. Igen, 3232 — (—1)2— 1 (mod 33). 


3. b—n-1, ahol n páratlan választás esetén mindig igaz, hogy b"! — (n— 
171 —(—1)7!—1 (mod n). n— 1 nem alkalmas választásbázis céljára. 


3.8. Feladat: 


e? — 1 (mod 24), minden szóbajöhető e értékre, (e,24) — 1, 0 c e c 24: 
mivel 24 — 21 .3, ezért a szóbajövő e értékek, 5, 7, 11, 13, 17, 19,23, amelyek 
mindegyikére 24](e— 1)(e-- 1) fennáll. 


3.9. Feladat: 


Azért tud fejteni, mivel az egész számként ábrázolható üzenetek köbének 
mérete is kisebb, mint a modulus, s így a rejtett szövegek köbgyökét keres- 
sük az egészek között, ami ismert könnyű feladat. A tanulság az, hogy rövid 
üzenetek esetén a blokkhosszra kiegészítést az alsó helyiértékeken célszerű 
elvégezni, s ha egészen rövidek az üzeneteink, akkor véletlen elemekkel tör- 
ténő kiegészítés is szükséges. 

A , kicsi kódoló kulcsok problémája" is kapcsolódik a feladathoz, amikor 
egy adott üzenetet ugyanazon kicsi kódoló kitevővel (e) kódolva küldünk 
el több partnerhez, különböző (relatív prím) modulusokkal. Ekkor a kínai 
maradéktétel segít ahhoz, hogy az egyszerű gyökvonásig eljusson a támadó. 


3.10. Feladat: 


Nem alkalmazhatók ezek a módok. Az RSA ugyan blokk kódolás, de nyil- 
vános kulcsú, s a CFB illetve OFB mód esetén mind az adási, mind a vételi 
oldalon csak kódoló transzformációt alkalmazunk, s így a nyilvános kódoló 
kulcs miatt a támadó által is elvégezhető a dekódolás. 


3.11. Feladat: 


Igen. Az RSA dekódolás Euler-Fermat-tételen alapuló szokásos bizonyítása 
működik ezen z modulus esetére is. Mivel z]9(N), ezért z használata vezet- 
het kisebb d dekódoló kulcsra, ami gyorsabb dekódolást tehet lehetővé. 
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3.12. Feladat: 


(2. — 1.) Triviális. 

(1. — 2.) Tegyük fel, hogy ki tudjuk számítani a d dekódoló kulcsot. Mi- 
vel ed — 1 mod p(N), ezért létezik zt, amelyre ed— 1 — tp(N). Az Euler— 
Fermat-tétel alapján $9(N) — 1 (mod N), tetszőleges b, (N, b) — 1 esetén. 
Egy x? — 1 (mod N) alakú egyenletnek a négy lehetséges megoldása közül 
kettő nyilvánvaló: x— --1 (mod N). Továbbá x — b"9(N)/2. (mod N) is meg- 
oldása ezen másodfokú egyenletnek tetszőleges b, (N, b) — 1 esetén (p(N) 
páros). Véletlenszerűen választva egy b értéket, legalább 1/2 annak a való- 
színűsége, hogy DPW)/2 A 4-1 (mod N), ezért (bPW)/2 4. 1,N) p vagy a. 
A támadó tehát véletlenszerűen választ egy b értéket, majd ellenőrzi ezen 
1.n.k.o.-t, s ha egynél nagyobb szám adódik, az N nemtriviális faktorja. Mi- 
vel ezzel megoldanánk a faktorizálás feladatát, ami nehéz feladat, ezért a de- 
kódoló kulcs kiszámítása az ismert adatokból hasonlóan nehéz feladat kell 
legyen. Megjegyezzük, hogy ha d bitmérete legfeljebb negyede az N — pg 
modulus bitméretének, akkor létezik hatékony algoritmus a d kiszámítására 
(N, e) publikus adatokból. (d kisebb méretre választásának praktikus oka az 
lehet, hogy gyorsabb dekódolást tesz lehetővé, s ez a szempont nem mellékes 
kis számítási kapacitású (pl. chipkártya) eszközöknél, illetve olyan eszköz 
esetén, amelynél sokszor kell ezt a feladatot végrehajtani (pl. egy szerver- 
ben)). 


3.13. Feladat: 


A 2. megoldás hibás, mivel a láncolás során csak a második blokk tartal- 
mát befolyásolja a véletlen blokk, tehát a támadó az első rejtjeles blokkot 
továbbra is azonosítani tudja (feltéve, hogy az /V inicializáló vektor ismert a 
támadó által). 


3.14. Feladat: 


A támadó felfedi az eredeti x tartalmat azáltal, hogy beszorozza y rejtjeles 
szöveget az üzenetek teréből választott r véletlen elem r" (mod N) rejtjele- 
zettjével, s az r"y (mod N) szorzatot nyújtja be dekódolásra. A dekódolás 
eredménye z — rx (mod N) lesz. Amennyiben r invertálható modN (gya- 
korlatilag biztos esemény), akkor a támadó könnyen kiszámítja az x üzene- 
tet. Ezen támadás ugyanakkor könnyen kivédhető, ha a támadott csak olyan 
dekódolt üzeneteket ad ki, amelyek előre rögzített formátumnak megfelelők. 
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3.15. Feladat: 


Igen, megadható ilyen formátum, sőt, figyelmetlenül könnyen választhat- 
nánk is ezt. Legyen a formátummegkötés az, hogy az érvényes üzenetek t 
számú Isb bitje zérus. 


3.17. Feladat: 


A legális felhasználó bármelyike indíthat sikeres támadást, ugyanis tetsz őle- 
ges (ej, d;) nyilvános-rejtett kulcs pár ismeretében az N modulus faktorizál- 
ható. A p és g prímek, valamint tetszőleges ej ismeretében dj kiszámítható, 
azaz kiszámíthatja bármelyik felhasználó dekódoló kulcsát. Rendszeren kí- 
vüli támadó, ha azonos x üzenetblokk rejtjelezettjeit hallgatja le, amelyet két 
különböző rendszerbeli felhasználónak küld a szerver, dekódolni képes az x 
üzenetblokkot. 


3.18. Feladat: 


A kérdés tehát az, hogy milyen feltételek esetén áll fenn az x" — x (mod N) 
egyenlőség. Ez triviálisan teljesül az x — 0, x — I, x— N — 1 esetekben. Az 
xxx (mod pg), azaz az (x! — 1)x — kpg alakból azt kapjuk, hogy a 
keresett x üzenetek összes száma [1--(e— 1,p— DJ[1--(e— 1,g— 1)], azaz 
legalább 9 ilyen tulajdonságú üzenet van (e 5 2). Ebből a szempontból e — 3 
egy optimális választás. 


3.19. Feladat: 


Igen, felelőtlenül jár el. Veszünk egy u, I £ u € N számot és b — u? (mod N) 
számot, adjuk gyökvonás céljából A-nak. Ekkor A 1/2 valószínűséggel v 
-Eu gyököt ad vissza. De (-w)? — (4v)2 — b— b — 0 (mod N), azaz (u-t 
V)(u— v) — rpa, tehát ha v gyököt kapjuk vissza, p és g faktoroknak van 
közös osztója (-twu)? — (-tv)? különbséggel. 


3.20. Feladat: 


1. Egy támadó eltávolíthatná az aláírást, s maga írna alá. Bár nem tudná eset- 
leg, hogy mit is írt alá, elképzelhető olyan szituáció, amikor ez kihasznál- 
ható. 


2. Két esetet érdemes meggondolni. DA(M) bináris blokkot bináris számként 
tekintve: Ha a legmagasabb helyiértéken 1 áll, akkor DA(M) c mA miatt a 
legmagasabb helyiértékű 1 bitet k darab 0 bit kell kövesse. Véletlen blok- 
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ként modellezve az aláírást, a k darab 0 bit követelmény valószínűsége 
(1/2). Ha a legmagasabb helyiértéken 0 áll, akkor nyilván kisebb, mint 
bármely modulus. 


4. fejezet 
4.2. Feladat: 


Ha az iterációs függvény nem CRHF tulajdonságú, akkor hatékonyan előál- 
lítható Mi , M/ pár, amelyre f(M1 , Ho) — f(M) , Ho). Az iterációs eljárás miatt 
H(IM1,m], Ho) — H(IM§ ,m], Ho) tetszőleges m üzenet esetén szintén fennáll, 
ezért [M1,m], [Mm] szintén egy ütköző üzenetpár H hash függvényhez. 


4.3. Feladat: 


H(IM1, Mo), Ho) — f(M2, f(Mi, Ho)) — H(M2, HO), ahol Hg — f(Mi, Ho). 
(Megjegyzés: MD-kiegészítés esetén ez a támadás nem végrehajtható). 


4.3. Feladat: 


Tekintsük az mi,m2, . . . nm, bemeneteket, s vezessük be az X;j indikátort, 
amely 0, ha H(m;) A H(mj), egyébként pedig 1 értékű. A valószínűségi mo- 
dellünk alapján az X;j — 1 esemény valószínűsége 27", következésképpen 
ElXij] — 27". Az összes különböző párok vonatkozásában számítva az indi- 
kátor összegek (X) várható értékét 


EI] — Y ELX] — 1(1— 12. 


icj 
Így az E[X] — 1 értékhez t — 2"/? választás adódik. 


4.4. Feladat: 


Lássuk be, hogy h(x) ütközés-ellenálló. Nem lehet a bemenet pár mindkét 
tagjának mérete n, ami a h(x) alakjából triviális. Nem lehet az sem, hogy a 
bemenet pár mindkét tagjának mérete n-től különböző, mivel g(x) ütközés- 
ellenálló. Ugyanakkor, ha a bemenet mérete n, akkor 1 bittel kezdődő lenyo- 
matunk van, ellenkező esetben 0 bittel kezdődő. 

h(x) nyilván nem OWHHF, hiszen az 1 bittel kezdődő lenyomatok mind- 
egyikéhez triviálisan ismert az őskép (azaz az 1 bitet követő bitsorozat). 
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4.5. Feladat: 


"Vegyük észre, hogy az üzenetblokk ismeretében H;. 1 — Dm,(H;) leképezés- 
sel visszafelé is iterálhatunk. Tekintsünk egy tetszés szerinti — például csalárd 
— üzenetet (azaz üzenetblokkok sorozatát). Vágjuk két részre az üzenetet, s 
mindkét részének állítsuk elő 27/? számú — csalárd — variációját, ahol n a 
lenyomat mérete (például nem nyomtatható karakterek beszúrásával). Ho-tól 
előre iterálva állítsuk elő az első részhez tartozó hash értéket. Másfelől — fel- 
használva az E kódoló transzformáció invertálhatóságát — lenyomattól visz- 
szafelé iterálva állítsunk elő ugyancsak 2"/? számú blokkot a második rész 
variációira. Nagyobb, mint 50 százalék az esélye annak, hogy a két iterációs 
irány illeszkedik valamely variensen. 


4.6. Feladat: 


Nem, mivel a kapott hash függvény ellen O(27/?) -nél kisebb számítás- 
igényű születésnapi ütközéses támadás továbbra is végrehajtható. Elegendő 
ugyanis csak magára az n bites H,. , -re végrehajtani ezt a támadást, mert, ha 
az m — [M1, Ma, . . ., M.-1], m! — (MI, M3, . .., Mf. 1] üzenetpárra ütközés áll 
elő H,. 1 -re, akkor M, blokkal meghosszabbítva m és m" üzeneteket, előáll 
az ütközés H, -re is, s így [H,.-1, Hi] -re is. Ezért a nevezett támadás O(2"/") 
számításigényű maradt, tehát ez a dimenziónövelés nem hatásos. 


4.7. Feladat: 


1. Indirekt. Ha lenne m,m! üzenetpár, amelyre ütközés állna elő a H" hash 
függvény kimenetén, akkor az nyilván ütközést jelentene a komponens 
H1,H2 hash függvények vonatkozásában is, ami e feltételeknek ellent- 
mondana. 


2. Ahhoz, hogy a kimeneten ütközés álljon elő két különböző m, m" beme- 
nettel, az kell, hogy g(H1(m), H2(m)) és e(HI1(m"), H2(m")) megegyez- 
zenek. Ha mindkét komponens vonatkozásában ugyanazon m,m!" párra 
tudnánk ütközést előállítani, akkor ez teljesülne. Heurisztikusan gondol- 
kodva két , független" leképezés vonatkozásában, ezen egyszerre történő 
ütköztetés összeszorozná a komponensenkénti ütköztetés feladat sikerva- 
lószínűségét (véletlenül sorsolva a párokat a bemeneten). Így egy erősebb 
függvényt kombinálhatunk. 
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4.8. Feladat: 


1. Sajnos , könnyen" támadható. Ha ugyanis M üzenethez H([k, M]) lenyo- 
matot megfigyeljük, ahol k a kulcsblokk prefix, akkor egy tetszőleges m 
blokkal kiegészített [M,m)] üzenethez tartozó lenyomat az iterációs eljá- 
rás miatt nyilván H((H([k, M]), m]). Sőt az sem segít, ha az eljárás az MD 
kiegészítés trükköt is alkalmazza, mivel ekkor a bithossz is az üzenet ré- 
szeként tekinthető, s a fenti generálás megismételhető. 


2. Sajnos ez esetben pedig a születésnapi támadás alkalmazható. A támadó 
27/2 komplexitással előállít egy M, M" üzenetpárt, amelyek lenyomata- 
ira ütközést állít elő (n bites a lenyomat). Ehhez nem szükséges a tit- 
kos k suffix ismerete. Ezután legálisan megszerez az M üzenetre egy, a 
feladat szerinti generálású H((M, k]) lenyomatot. Az iterációs lenyomat- 
készítés miatt képes előállítani helyes lenyomatot M" üzenetre is, hiszen 
H((M",K)) — H(IM,K0). 

3. Ha a k blokkot alkalmazzuk mind prefixként, mind suffixként, akkor a két 
mondott támadást ötletében megakadályozzuk. 


4.9. Feladat: 


1. Nem. Ezen kódolás védtelen az üzenetblokkok teszőleges permutációjára, 
sőt arra is, ha páros számú tetszés szerinti blokkot beillesztünk. 


2. Igen, lehet. Ugyanis, ha elegendően erős a rejtjelezés, a támadó nem ké- 
pes a rejtett szöveg módosítását úgy végrehajtani, hogy ahhoz illesszen 
megfelelő lenyomatot. 

5. fejezet 

5.1. Feladat: 

1. A PCBC dekódoló sémáját a 21.2. ábrán vázoltuk. 


2. Tekintsük aPCBC dekódoló sémáját, és jelöljük X;-vel azt az értéket, amit 
Ez (C;)-hez XOR-olunk, hogy megkapjuk Pj-t (i — 1,2,...,N és Xi — 
IV). Ekkkor könnyen látható hogy 


X42—XIGER (CI) EGGEZ (C4.1) Cs. 


minden i — 1, 2, . . . N —2 esetén. Ez azt jelenti, hogy C; és C;4.1 cseréjének 
nincs hatása X;4.2-re, és így a P;4.2, Pi4.3, . . . blokkokra sem. 
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21.2. ábra. Dekódolás PCBC módban 


3. Nem önszinkronizáló. Tegyük fel, hogy az i-edik rejtett blokkban egy bit 
hiba keletkezik. Ez elrontja a visszaállított i-edik nyílt blokkot, amit Pj- 
vel jelölünk. Mivel C; E P; — C; E P; elenyészően kicsi valószínűséggel 
Áll fenn, ezért az (i-t 1)-edik visszaállított nyílt blokk is hibás lesz. Mivel 
Ci1 E Pia A Cix1 E Pl 1, ezért az (1--2)-edik visszaállított nyílt blokk is 
hibás, és így tovább. 


5.2. Feladat: 


1. Legyen u — 254. Az összes permutációk száma wu!. Használjuk fel azt a 
tételt, miszerint ha az összes permutációt felsoroljuk, s a b hosszú ciklu- 
saikat tekintjük, azok összhossza b értékétől függetlenül u!. Ezért, ha a vé- 
letlen permutációval modellezett kódolót bármely w állapotból elindítjuk, 
a ciklushossz egy véletlenül választott érték lesz az (1,2, . . . , u) halmaz- 
ból. Következésképp a ciklushossz várható értéke (u-t 1)/2—28(--0.5). 


2. Egy visszacsatoltan alkalmazott zi41 — f(zi) véletlen leképezés modellt 
tekintünk a 64 bites állapotok halmazán. A születésnapi paradoxon miatt 
átlagosan 264/2 — 222 lépést követően ugyanazt a kimenetet állítja elő, s 
ezzel egy ciklust ír le. 


A fentiek alapján levonhatjuk azt a következtetést, hogy törekedni kell a tel- 
jes blokkméret visszacsatolására OFB mód esetén. 
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5.3. Feladat: 


1. Nem. A CBC mód hibaterjedési tulajdonsága szerint egy véletlen hiba 
esetén a hibázás utáni első dekódolt blokk bitjeinek átlagosan fele hibás 
lesz (továbbá még a rákövetkező dekódolt blokk egy bitje is). Nagymér- 
tékű meghibásodást csak igen költséges, komplex javító kóddal tudnánk 
eliminálni. A helyes megoldás a rejtjelezés utáni hibajavító kódolás, s fej- 
tés előtti hibajavító dekódolás alkalmazása. 

2. Nincs hibaterjedés a kulcsfolyamatos típusú rejtjelezésmód miatt. Ez eset- 
ben alkalmazhatjuk a hibajavítást a rejtjelezést megelőzően is. 


6. fejezet 


6.1. Feladat: 


Egy rövid példán szemléltetjük a megoldás ötletét. A párbeszéd egy rész- 
lete, ahol Feri és Sanyi beszélgetnek, az alábbi (a dőlt betűs sorok az utólag 
beszúrtak): 





Halló, Feri vagyok. 

Halló, itt Jóska. 

Szia, Laci. 

Szia, itt Sanyi. 

Jövő hétfőn továbbmegyek Rómába. 
Holnap indulok Athénba. 

Menjek én is? 

Sajnos én nem tudok menni? 
Mindenképp gyere. 

Semmiképp ne gyere. 

Nos, kik és hol találkoznak, vagy nem találkoznak? Az egyes sorok vé- 
gére kulcsos hitelesítő ellenőrzőösszeget helyezünk, az eredeti sorok végére 
korrektül, a dőltbetűs sorok végére szándékosan hibásat. A kulcs ismereté- 
ben a legális partnerek ki tudják szűrni a helyes sorokat, míg a támadó erre 
nem képes. A megoldás hátrányául két megjegyzést teszünk. Jelentős plusz 
kommunikáció-igény lép fel, továbbá a zavaró sorok értelmének illeszkednie 
kell a zavart környezethez, ahhoz, hogy ne lehessen értelme alapján nyilván- 
valóan detektálni azokat (következésképp nehéz a megoldást automatizálni). 


prpypemmmpi 





6.2. Feladat: 


Vegyünk egy hash függvényt, s készítsünk lenyomatot a forráskódról azon 
alkalmakkor, amikor a központból az illetékes személy ellenőrzésre szólít 
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fel telefonon. A lenyomatképzés a telefonálás időhosszához képest , pillana- 
tok alatt" elvégezhető egy megfelelő program lefuttatásával. A lenyomatot 
hexadecimális ábrázolásban tekintjük, majd sorban beolvasunk ezen hexa 
karakterekből — a biztonsági méretezéstől függően — néhányat. A központi 
illetékes a hangunk alapján, s az adott napra feltett aktuális kérdéssel ellen- 
őrizheti a személyünket, a beszélgetés friss voltát. (Itt hallgatólagosan azt is 
feltételeztük, hogy az ellenőrzött gépen a lenyomatkészítő program sértetlen: 
gondoljunk például arra az esetre, ha egy átírt , lenyomatkészítő program" 
egyszerűen nem tesz mást, mint azt, hogy a parancssorban ellenőrzésre kért 
szoftver nevéhez egy előre elkészített táblázatból kiolvassa a helyes szoft- 
verhez tartozó helyes lenyomatot, miközben ténylegesen a szoftver már nem 
az eredeti.) 


6.3. Feladat: 


A CBC mód lépéseit végiggondolva közvetlenül látható, hogy a (6.7) kódo- 
lás eredménye E;(m E IV)IE,(0) az üzenettől függetlenül, azaz semmiféle 
integritásvédelmet nem kapunk. A tanulság az, hogy a (6.7) alakú kódolás- 
nál mindenképpen eltérő kulcsot kell alkalmazni a kétféle funkcióra. Például 
DES alkalmazása esetére k" kulcsra egy szokásos választás a k kulcs minden 
második félbájtjának komplementálása. 


6.4. Feladat: 


1. Nem. Kimerítő kulcskereséssel igen: ugyan az üzenetblokkok véletlenek, 
de a kulcs tesztelésénél támaszkodhatunk a redundáns blokkra. 


2. Igen. A módszer az 1,2, . . . ,m rejtett blokkok sorrendcseréjére, valamint 
páros számú ilyen blokk beszúrására érzéketlen. 


6.5. Feladat: 


Legyen 4 tetszőlegesen választott MAC. Előállítható olyan üzenet, amely- 
nek lenyomata 41. Tekintsünk egy m — M1IM2]. . . IM, üzenetet, azaz M; üze- 
netblokkok r hosszúságú sorozatát, amelyre MAC,(m) CBC-MAC blokkot 
kaptuk. Ha az (r4-1)-edik üzenetblokkot M,.4 1 — Dr(1) 8 MAC4(m) szerint 
választjuk, ellenőrizhető, hogy m/ — MiIM2]...IM,41 üzenetre az előírt u 
MAC értéket kapjuk. Ugyanakkor vegyük azt is észre, hogy bár a konstru- 
ált sorozat első r blokkját tetszés szerinti csalárd tartalmúra beállíthatjuk, az 
(r.-4- 1)-edik blokk tartalma már véletlenszerűen alakul. 
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6.6. Feladat: 


A támadó kér egy-egy MAC lenyomatot egy mi és egy m2, egy blokk méretű 
üzenetre. Ezután előállítja az m — mi]z, z— MAC,(m1) E m2, két blokk mé- 
retű üzenetet, amelyre MAC,(m) — E(Ex(m1) 2) — Ex(Ex(m1) 6 Ex(m) e 
m2) — MAC4(m2). Tehát a támadó a k kulcs ismerete nélkül elő tudott állítani 
MAC lenyomatot egy új m üzenethez. Ugyanakkor vegyük újra észre, hogy 
m második blokkja a támadó által gyakorlatilag nem befolyásolható, véletlen 
blokk. 


6.7. Feladat: 


Legyen mi, m2, és mz3 három darab, blokkméretű üzenet. A támadó kér MAC 
lenyomatot az mi és m2 üzenetekre, azaz kap A; — Ex(Ex(m;) 01), i— 1,2 1e- 
nyomatokat, ahol 1 — 0]... JO]J1 blokk az üzenet blokkban kifejezett hosszát 
tartalmazza. Eztán lenyomatot kér az m — mil1lm3 három blokk hosszú üze- 
netre, azaz kap egy 


y — Ex(Ex(Ex(Ex(mi) 61) Em3) 63) — E,(Ex(Ai €m3) 03), 
ahol 3 — 0]... JO]1]1. Látható azonban, hogy egy m" — mel1]z üzenetre, ahol 
z — Ai B Az Em3z, szintén y lenyomatot kap a támadó: 

E(Ex(Ex(Ex(m2) 61) 62) 63) — E(Ex(A20 Ai 6 Az Em3) 03) — xy. 


6.8. Feladat: 


MAC kód képzése előtt az előző csomagvételi lépésben kapott véletlen ele- 
met, valamint egy friss véletlen elemet illesztenek az üzenetcsomaghoz. Ez a 
kriptográfiában szokásos láncolási technika egy megvalósítása. A kommuni- 
káló felek a következő csomag vételekor csak olyan csomagot fogadnak el, 
amelynél helyes a MAC kód, valamint a megfelelő véletlen elem, az általuk 
az előző csomag adásakor generált elem. 


6.9. Feladat: 


1. Nem. Ha a támadó ismeri a nyílt szöveg struktúráját, akkor célzott bitpo- 
zíciókban invertálva a biteket közvetlenül manipulálhatja a nyílt szöveget. 

2. Nem. A rejtjeles blokkok sorrendje átrendezhető. 

3. Nem. A támadó tetszőleges manipulációja észrevétlen marad bármilyen 
rejtjelezés alkalmazása mellett, hiszen a dekódolás eredménye tetszőle- 
ges nyílt szöveg lehet. A tanulság az, hogy rejtjelezés felhasználásával 
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történő integritásvédelem esetén ,, valamiféle" redundancia léte minden- 
képp szükséges. 


6.10. Feladat: 


Igen. Első esetben a kódolás védtelen az üzenetblokkok tetszőleges permu- 
tációjára, sőt arra is, ha páros számú, tetszés szerinti blokkot szúrtunk be. 
Második esetben elegendően erős a rejtjelezés esetén, a támadó nem képes a 
rejtett szöveg módosítását úgy végrehajtani, hogy ahhoz illesszen megfelelő 
CRC-t. 


6.11. Feladat: 


Ütközés-ellenállónak kell lennie, hiszen előállítva (m,m!) MDC-ütközésre 
vezető üzenetpárt, m , nem gyanús" üzenetre kérve a kódolást, 


E,(MDC(m)) — E4(MDC(n!) 
egyenlőség miatt m! üzenetre is ismert lesz a MAC. 


8. fejezet 
8.1. Feladat: 


Jelölje (PKA, SKA), illetve (PKg, SK) A, illetve B (nyilvános, titkos) kulcs- 
párját. Minden egyes kommunikációs kapcsolat során A véletlenszerűen ge- 
nerál egy, csak az adott kapcsolat idejéig élő (nyilvános, titkos) kulcspárt, 
amit jelöljön (PK/ , SK). Ezen kulcspár PK4 nyilvános elemét SKA kulcsá- 
val aláírva A átküldi B-nek. Ezután B a PK4 kulccsal rejtjelezett üzenetet 
küldhet A számára. A kommunikáció befejeztével A megsemmisíti az SKA 
titkos kulcsot. (A-tól B felé történő üzenetküldés hasonló elven történhet.) Ha 
a kommunikáció végén (vagy több további kapcsolat után) C megpróbálná 
megszerezni a rejtjelezett üzenetek dekódolásához szükséges titkos kulcsot, 
(itt kulcsokat) nyilván nem járhat sikerrel (meg vannak semmisítve). Ha el- 
feledkezünk a nyilvános kulcsú módszer követelményről, miért ne tehetnénk 
meg, hogy az , alap" kulcspárra ((PKA,SKA), (PKg,SKg)) támaszkodva be- 
szél meg a két fél közös szimmetrikus kulcsot, mondjuk egy DES számára. 
A probléma ez esetben nyilván az, hogy C megtalálva SKA, SKg kulcsokat a 
szimmetrikus kulcsokat rekonstruálhatja, majd ennek alapján a rejtett üzene- 
teket is. (Megjegyezzük, hogy ha ezen szimmetrikus kulcscserét a kapcsolat 
idejéig élő kulcspárra támaszkodva teszik ((PK4 , SK/)), akkor megmarad a 
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védettség, s a gyorsabb rejtjelezést is lehetővé tesszük.) A módszert nevez- 
hetjük egyszer használatos nyilvános kulcsú rejtjelezésnek. Hátránya, hogy 
a véletlen kulcspár gyakori előállítása sok véletlen bitet kíván. 


8.2. Feladat: 


1. Feltevések: 
Ak(A6B) 
AE tk) 
BE(CSA) 
BE ($B) 
BE H(74) 
BE(AB(A$B)) 
BE(Ab tk) 
2. Célok: 
AHk (A s B) : implicit kulcshitelesítés A számára (feltevés) 
A k H(x) : kulcsfrissesség A számára (feltevés) 
BE(ASB) :implicit kulcshitelesítés B számára 
B t(k) : kulcsfrissesség B számára 
3. Levezetés: 
B a (AIKITAMA s BIHKRJITA) Pra) pu 
BECB) 
B a (AIKITAIA Ő. BIKKJITA) Pra) 
B a (A Ő BIR) IA) pa 





B a (A 5 BIHIITA) pra 
BECS) 
BE (Ah (A Ő BIH(RJITA)) 


BF H(T4) 
BE HA Ó BIH(KJITA) 


BE (Ab (A Ő BIH(KJITA)) 
BE HH(A 6 BIHHKJITA) 
BE (Ak (A Ő BIH(KJIT4)) 
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BE (AH (A És BIW(KJITA)) 
Bp(AR (AS B)) 

BE (Ab H(4) 

BE(AS B) 

BE H(4) 


9. fejezet 
9.1. Feladat: 


Legyen pw a jelszó. B választ egy jelszó bitméretű r véletlen számot: 


(1) BOA: r 
(2 ADB: pwer 


9.2. Feladat: 


Igen, a jelmondat. Biztonságos lenyomatképző felhasználásával szokásos 
jelszóhosszra tömöríthetünk hosszabb, értelmes jelmondatot. A jelmonda- 
tok számossága nyilván könnyen felülmúlja a lehetséges jelszóméretű fűzé- 
rek számát, így a teljes jelszóteret kihasználhatjuk. A megoldás hátránya az, 
hogy a jelmondat begépelése viszonylagosan hosszadalmas lehet a szokásos 
jelszavakhoz képest. A jelmondat hosszára alsó korlátot a nyelv redundan- 
ciája és a biztonságos jelszóhossz alapján kaphatunk. 


9.3. Feladat: 


Egy PW jelszót — a rendszeren kívül — kicserél a két fél (ha azonosítási irányt 
is meg kívánunk különböztetni, akkor két különböző jelszót használunk). 
Azonosításkor átküldjük a (T, Hash(T, PW)] üzenetet, ahol T jelöli az időt. 
A másik fél ellenőrizheti az időbeli frissességet, majd ezután ő is előállítja 
Hash(T, PW) elemet. A támadó nem képes sem a PW megismerésére, sem 
replay, sem pedig pre-play támadásra. Hátránya, hogy klasszikus számítógé- 
pes környezetben ez megkívánja, hogy a szerver oldalon nyíltan rendelke- 
zésre álljon a jelszó. 


9.4. Feladat: 


1. A támadás menete a következő: 


KXöOB: X 
XA B: A 
BOX: Npx 
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B-GXA4: Npa 

KG B: (Nga)xys 
XA — B: (Nga)kxs 

BG S: (XI (NBa) kus) kes 
Ba S: (AI (Npabxssb kos 
S B: (Nga)xas 

SG B: (3)xess 


ahol : jelöli azt a pénzfeldobás sorozatot, amit S kap, amikor (Npa )xxs-et 
dekódolja a KAs kulccsal. B a szervertől kapott válaszokat helytelenül ren- 
deli hozzá az éppen futó protokollpéldányokhoz. Ez azért van, mert csak 
a szervertől visszakapott kihíváselem értékét tudja ellenőrizni, és mivel az 
megegyezik azzal az Ng4-val, amit B A-nak küldött, ezért azt hiszi, a pro- 
tokoll A-val futott le sikeresen, és valaki megpróbálta megszemélyesíteni 
X-et. Valójában azonban A egyáltalán nincs jelen a támadás alatt. 


2. Egy lehetséges javítás a következő: 


Javított Woo-Lam-protokoll 
(1) AG B: A 

(2) BOA: Np 

6) AB: (B, Ng)xas 
(4) BOSS: A, (B, Ng).Kas 


65) S-OB: (A, B, Ng)kgs 


Figyeljük meg az azonosítók explicit használatát az üzenetekben! 





9.5. Feladat: 
1. A protokoll lehet a következő: 
(1 AGB: w-g modp (r véletlenszám mod p— 1) 
(2) B-6A: b (b € (0,1) egy véletlen kihívás) 


(3) AG B: z-ribxmod(p—1) 





Az utolsó lépésben B ellenőrzi, hogy g7 megegyezik-e wy?-vel modp. 
Ezen protokollnak t egymás utáni alkalommal sikeresen kell lefutnia ahoz, 
hogy B 27" valószínűséggel elfogadja A állítását. 


2. A titkot mod (p — 1) egészként kifejezzük, majd a g primitív elemre hat- 
ványozzuk, s a hatvány eredményét átküldjük B-nek, aki számára bizo- 
nyítani kívánjuk a titok birtoklását. Ezután lezajlik a fenti bizonyítási pro- 
tokoll. 


A kitűzött feladatok megoldása — 429 


13. fejezet 

13.2. Feladat: 

L — összetett szám. x egy egész szám. M(x) — 1, ha M összetett szám beme- 
netre dönt, M(x) — 0, ha M prímszám bemenetre dönt. Pr(M(x) — 1) —3/4, 
ha x € L, illetve Prf(M(x) —0)— 1, hax£ L. 

13.3. Feladat: 


M! futtasson m példányt M gépből, azonos x bemenettel. A kimenetek alap- 
ján végezzen majoritásos döntést. Használjuk a Csebisev-egyenlőtlenséget. 
Legyen y; az i-edik gép kimenete: 


Pr; pe 5 1/2)— Pr 3-0) 5 1/2—E(y) 
-1-P(1$u—EG) 25) 
4-1 
z 1 Pell 59-69 slől), 


ahol ő — 1/2— E(yi) — 1/2— (1/2--1/p(n)) — —1/p(n) c 0. A Csebisev- 
egyenlőtlenség felhasználásával 


—PrfiL 9 — EG ML 
1 §—E0NI S lő 2 1- ák 


— 1. 4/241/P(I4)(1/2— 1/P(lx))) 


62-m 


712 (AD 1). 


m 








Így m — p(n)? választással 2/3 feletti valószínűség adódik. 


13.4. Feladat: 


1. Igen. Mivel I fien(x) — log; Ix], ezért nem lenne olyan algoritmus, amely 
invertálni lenne képes fien(x) függvényt p(I fien(2x)]) időben, egyszerűen 
azért, mert nem lenne elég ideje arra, hogy kiírja a bemenet bitjeit. 


2. Nem. Triviálisan invertálható p(Ix]) időben. 
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" 13.5. Feladat: 
1. 1/27. 
V.585 B 


13.6. Feladat: 
Nem igaz, hiszen annak valószínűsége, hogy véletlenszerűen választott r 


log; Ixl számú zérussal kezdődik, 2-oszbi — 1/]x], így g legalább 1 — 1/n 
valószínűséggel invertálható. 


13.7. Feladat: 
b(c,x)—c 


13.8. Feladat: 


Ha b nem kiegyenlített, s mondjuk 1 értéket nem elhanyagolhatóan gyak- 
rabban veszi fel, akkor Z" keménybit kiszámító algoritmus kimenete legyen 
konstans 1, azaz Z"(f(x)) — I, tetszőleges x esetén. Ezen Z" algoritmus nem 
elhanyagolható valószínűséggel kiszámolja a keménybitet. 


13.9. Feladat: 
ft) -ok 


13.10. Feladat: 


Legyen Z" az f függvényt invertáló algoritmus, amelynek bemenete egy vé- 
letlen ri értékre számított y — f(r1). Z" kisorsol egy véletlen r2 értéket, majd 
meghívja Z algoritmust (y, f(r2)) bemenettel. Ezt m alkalommal végezve 
5. 1-—(3/4)" valószínűséggel Z" kiszámít egy f7!(y) inverzet. 


13.11. Feladat: 

1. g(wy— w. 

2. fog függvény nem egyirányú. Például legyen g(w) — 0 tetszőleges w 
esetén. g o f függvény viszont egyirányú. Ha ugyanis g o f nem lenne 
egyirányú, akkor g leképezés lehetne azon Z algoritmus első lépése, amely 
algoritmus f inverzet nem elhanyagolható valószínűséggel számolna. 

3. Nem, például f — e. 

4. f(w) — [/Cw) wit... 4 wpu], ahol -- mod 2 összeadást jelöl. 
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13.12. Feladat: 


Indirekt bizonyításul tegyük fel, hogy f" nem egyirányú. Ekkor létezik Z 
algoritmus, amelyhez létezik p(n) polinom, hogy legalább 22/p(n) számú 
különböző (2n bites) bemenethez tartozó kimenet invertálható (végtelen sok 
n értékre). Vegyük észre, hogy ebből következik, hogy az f függvény vo- 
natkozásában legalább 27/p(n) számú (n bites) bemenethez tartozó kimenet 
invertálható, ami ellentmond f egyirányúságának. 


13.17. Feladat: 


Nem. Az adott leképezés akkor és csak akkor invertálható, ha (u, $(N)) — 
1. Ugyanis x" — y (mod N) kongruencia ekvivalens az x" — y (mod p) és 
x!—y( mod ag) kongruenciák rendszerével, s az utóbbiaknak csak akkor van 
megoldása, ha (uw,p— 1) — 1 és (u,g— 1) — 1 fennáll, azaz ha (u, ó(N)) — 1. 
13.18. Feladat: 

Legyen p Carmichael-szám. Mivel 


xiHO(N) (271) 5x:1—x (mod p), 


ezért a dekódolás tetszőleges x nyílt szöveg blokkra helyesen megtörténik. 
Ha viszont p összetett szám nem Carmichael-szám, akkor a kis Fermat- 
tétel alapú tesztnél látottak szerint x?7! — 1 ( mod p) legalább a nyílt szöveg 
blokkok felére nem áll fenn, azaz nem működik a dekódolás. 

13.19. Feladat: 


Igen. Ha ugyanis a kérdéses rend r, azaz e" — 1 (mod $(N)), akkor y" — 
y (mod N), ahonnan x7" — x(modN), azaz er! (mod $(N)) dekódoló 
kitevőként használható. 

14. fejezet 

14.1. Feladat: 

1. LegyenZ— 0, ha0 £ x c277! és Z — 1 egyébként. 

2. Nem lehet nagyobb (lásd 2. Tulajdonság következményét). 
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14.2. Feladat: 


Az analízis eredményeképp látható, hogy az n paraméterben polinomiáli- 
san kicsi az eltérés a kétféle fejdobás valószínűsége között, ezért polino- 
miális számú dobással tetszőlegesen jó megkülönböztetési hibavalószínűség 
érhető el. 


14.3. Feladat: 


Először lássuk be, hogy ha létezik Z algoritmus t erőforrással, amely ő 
előnnyel megkülönbözteti L(D) és L(D") eloszlásokat, akkor létezik Z" al- 
goritmus, amely t --1" erőforrással, s ugyancsak ő előnnyel megkülönbözteti 
D és D! eloszlásokat. Ennek belátásához Z" bemenetét képezzük le L algo- 
ritmussal, majd az eredmény legyen Z bemenete. Z" megkülönböztető ereje 
nyilván megegyezik Z erejével. Ha pedig az összes lehetséges t -t-t" erőfor- 
rással rendelkező algoritmusokat tekintjük, futtatva a megkülönböztető erő 
csak nőhet. 


14.4. Feladat: 

d,(D,D") definíciójából és a feltételes valószínűség fogalmából kiindulva 
elemi átalakításokkal közvetlenül adódik. 

14.6. Feladat: 


Indirekt: Ha az állítás nem lenne igaz, akkor létezne hatékony Z" megkülön- 
böztető algoritmus X",Y" párra, de akkor Z — Z" o L hatékony megkülönböz- 
tető algoritmus lenne X,Y párra. 


14.7. Feladat: 


Ha két eloszlás atomjainak azonos részhalmazát öszevonjuk, a variációs tá- 
volság nem változik. Tetszőleges függvény hatása egymás utáni ilyen össze- 
vonási műveletekkel képezhető, végiglépve a függvény értékkészletének ele- 
mein. 


14.8. Feladat: 


1. Ha a feltétel fennáll, akkor variációs távolságban közelség fennáll: S" — 
(x : Pp(x) 5 Pp(x)) jelöléssel E Pp(x)—Pp(x) — V(D,D"). 
KEST 
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2. Ha variációs távolságban közelség fennáll, akkor a feltétel fennáll: mivel 
§-s1uUs2, s! c st, 52 C Sr, így 
IPp(5) — Pp (51 — IPo(s") — Pp(51) 4 Pos?) — Por(5?)] 
S IPo(S") — Po(5")I--IPo(s?) — Pp(5?)I 
S IPo(S") — Pp(S")I-- IPp(5") — Pp (591 2-V(D,D9. 
15. fejezet 
15.1. Feladat: 


1. Mutassuk meg, hogy ha létezik hatékony prediktor, akkor annak felhasz- 
nálásával konstruálható hatékony megkülönböztető algoritmus is az álvé- 
letlen sorozatra. Ha Z algoritmus egy sikeres prediktor lenne, akkor konst- 
ruáljunk Z" algoritmust, amely sikerrel megkülönbözteti az álvéletlen s0- 
rozatot a véletlentől: ha Z predikciója helyes, akkor Z" — 1, egyébként a 
Z" — 0. Továbbá használjuk fel, hogy Z 1/2 valószínűséggel képes csak 
helyesen predikálni véletlen sorozat esetén. 

2. Az indirekt bizonyítás fő lépései: 

(a) Legyen a két extrém hibrid a véletlen, illetve az álvéletlen elem. Ha 
megkülönböztethetők, akkor — hibrid technikával igazolva — létezik 
két megkülönböztethető szomszédos hibrid is, azaz létezik olyan I(n) 
bites bináris valószínűségi változó pár, amelyek közül az egyiknek 
k bites prefixe, a másiknak k— 1 bites prefixe az álvéletlen sorozat 
megfelelő prefixe, míg a suffixek pénzfeldobás bittel vannak feltöltve. 

(b) Ezen két hibridből kiindulva, igazoljuk, hogy az álvéletlen prefix k- 
adik bitje predikálható. A bizonyításnak ezen része használhatja az 
1— 1 értelmű OWF függvényre alapuló 1 bittel hossznövelő standard 
bizonyítás technikai lépéseit. 0 


15.2. Feladat: 


Igazoljuk, hogy a PRG kimenetének eloszlása és az egyenletes eloszlás sta- 
tisztikai távolsága egy pozitív konstansnál nagyobb, n értékétől függetlenül: 
XIPr(Ur —z) — Pr(G(Un) — z) 


z 


2 pa (IPr(Urny —2)— Pr(G(Un) — zi 
zg(G(9)sefoly) 


— (29. 27). (270 0) 2 1/2. 


434 A Kkitűzött feladatok megoldása 


15.3. Feladat: 


1. Tekintsük a Blum-Micali-Yao-konstrukciót, azaz egy F:(0,1)"— (0,1y" 
biztonságos, egyirányú permutációval képezzük le a véletlen magot, majd 
hosszabbítsuk meg F keménybitjével. 

2. Legyen G! : (0,1y7! C (0,1)""! egy biztonságos PRG. Definiáljuk a 
következő G! : (0,1)" — (0,1y""! leképezést: G(x,b) — G"(x), ahol b 
egy bit. Így (x,0) és (x, 1) ugyanabba a G"(x) kimenetbe képződik, tehát 
G nem 1 — 1 értelmű. Azt kell még belátni, hogy G is egy PRG. Induljunk 
ki a PRG definíciójából és alkalmazzuk a feltételes valószínűség technikát 
b—0 illetve b — 1 feltételekkel. 


15.4. Feladat: 


Indirekt: Ha az állítás nem lenne igaz, létezne hosszmérést végző Z megkü- 
lönböztető algoritmus: Z bemenete w, amely vagy a generátor egy kimenete, 
vagy egy h(n) hossszú véletlen sorozat. Z algoritmus p(n) alkalommal ki- 
sorsol véletlen magot, majd generáltatja hozzájuk G-vel a kimenetet. Méri a 
kimenetek hosszának minimumát. Ha ez a minimum kisebb, mint [w], akkor 
Z(w) — 1 (arra dönt, hogy w a generátor egy kimenete volt), egyébként a 
Z(w) — b, ahol b pénzfeldobás bit. Formálisan analizáljuk Z megkülönböz- 
tető erejét. 


15.5. Feladat: 

Tekintsük a PRG definicióját, s vegyük figyelembe, hogy a sorrendcsere egy 
polinomiális lépés. 

15.6. Feladat: 


m G": h(5) eloszlása egyenletes, ha s eloszlása egyenletes, továbbá G " poli- 
nomiális időben kiértékelhető marad. 


m G":A PRG definícióját tekintsük: a h(Uxx) és az Urny eloszlása azonos 
(egyenletes), így 
IPr(ZIR(G(5))] — 14— Pr(ZIR(Urm)] — 1] 
— IPH(Z(G(5)) — 11— PH(Z (Ur) — 1 


különbséget vesszük, ahol 2" — Zo. Ha tehát Z megkülönböztető algorit- 
mus lenne G" PRG esetén, akkor Z" megkülönböztető algoritmus lenne G 
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PRG esetén is. Továbbá G" polinomiálisan kiszámítható. (Vegyük észre, 
hogy itt nem használtuk ki, hogy A permutáció.) 


15.7. Feladat: 


Teljes indukció: Tegyük fel, hogy GÖ(U,) álvéletlen eloszlású, ami i — 1 
esetén teljesül. Ekkor G(i (s) — G(C(GO(5))) is álvéletlen eloszlású, el- 
lenkező esetben G(C(.)) leképezés megkülönböztető lenne, azaz megkülön- 
böztetné a GÖ(U,) és az Ua eloszlást. 


15.8. Feladat: 


Tekintsük a Pr(Z(U2n) — 1) valószínűséget, amely a PRG definíciója alapján 
a fenti két valószínűség egyikétől sem lehet , távol". Alkalmazzunk bebőví- 
tést és háromszög-egyenlőtlenséget. 


15.9. Feladat: 


Ha létezik egyirányú függvény, akkor biztonságos G : (0,1/? — (0,1y" 
PRG is konstruálható. Legyen B(1") kimenet véletlen, s így eloszlása sta- 
tisztikailag egyenletes, továbbá legyen C(1") kimenet a G által generált. G 
definíciója szerint a két eloszlás megkülönböztethetetlen, továbbá az elosz- 
lások tartói metszetének mérete nyilván £ 272. 

Tegyük fel, hogy a két eloszlás megkülönböztethetetlen, s tartóik a fenti 
értelemben lényegében diszjunktak. Legyen B(1") ismét a véletlen leképe- 
zés. Ha C(1") algoritmus m bites r véletlen elemet használ egy kimenete ki- 
számításához, definiáljunk egy f : (0, 1)" — (0, 1)" leképezést f(r) —C(1") 
módon. Legyen továbbá / egy invertáló algoritmus az f leképezéshez, to- 
vábbá egy Z algoritmus az alábbi: 

Legyen u az f képterének (C kimenet terének) egy eleme. Z(u) — 1, ha 
f(I(u)) — u, azaz ha! algoritmus ki tudta számítani u egy ősképét, egyébként 
legyen Z(u) — 0. Tegyük fel, hogy Pr(Z(C(1")) — 1) — Prff(I(f(r))) — 
f(r)) £ €, ahol € nem elhanyagolható. Mivel B(1") véletlen leképezés, ezért 
Pr(Z(B(1")) — 1) c 1/2??, ugyanis Z a B(1") kimeneti halmazának csak 
azon töredékén belül invertálhat sikeresen, amely metsződik C(1") kime- 
neti halmazával. Innen Pr(Z(C(1")) —1)—Pr(Z(B(V")) —1) 5 €— 1/2772, 
azaz B(1") és C(1") eloszlások megkülönböztethetők (e — 1/2"/? nem elha- 
nyagolható), amivel ellentmondásra jutottunk az állítás feltételével. Követ- 
kezésképp f biztonságos OWF. 
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16. fejezet 
16.1. Feladat: 


Legyen F ;, egy PRF, amelyből ellenpélda F,, úgy képezhető kis módosítással, 
hogy F, a 0" bemenetet konstans kimenetbe képezze le, míg a többi beme- 
netet az F,, leképezésnek megfelelően. F, nyilván nem PRF, de rendelkezik 
a fenti tulajdonsággal. 


16.2. Feladat: 


Igazoljuk először, hogy ha létezik PRG, akkor létezik olyan is, amelyre telje- 
sül, hogy G(0") — 077. Ugyanis indirekcióval könnyen látható, hogy aPRG 
tulajdonság nem változik akkor, ha egy PRG két különböző bemenetéhez 
tartozó kimenetet megcseréljük. Ha ezt már beláttuk, akkor ezen PRG ese- 
tén a feladatbeli konstrukció az s magtól függetlenül zéró bemenetre zéró 
kimenetet ad, azaz nem lehet PRF. 


16.3. Feladat: 


1. W — F.(N), ahol F; PRF. A biztonsági tárigény a k kulcs mérete, azaz 
konstans, s nem nő az eladott zárak darabszámával. Vegyük észre, Fx nem 
kell, hogy permutáció, azaz rejtjelező leképezés legyen. 

2. Ekkor egy H egyenletes eloszlású (azaz , valódi") véletlen függvény szük- 
séges: W — H(N). Ekkor függetlenül sorsolt "jelszavak" adják a kombiná- 
ciókat. 


16.4. Feladat: 

A bizonyítást hibrid bizonyítás-technikával végezhetjük el, ahol a két ext- 
rém hibrid DES, és DESI, , míg a többi három hibridet úgy kapjuk, hogy 
a 16.3. ábra struktúrájában először H( leképezést cseréljük le F" leké- 
pezésre, majd a Hu? leképezést is lecseréljük Fr leképezésre, s legvé- 
gül a H(? leképezést cseréljük le F/? leképezésre. Z megkülönböztető al- 
goritmus bemenetére a — (1, 2, 03), cz e (0,1)?" vektor érkezik, ahol 
a — (OV), FOV), FŐV) vagy 00 — (HD, HD, HD) 
1/2-1/2 valószínűséggel. 


16.5. Feladat: 
1. (G",F",1") csapda permutáció (k, pk) nyilvános és sk csapda kulccsal: 
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Ha egy Z algoritmus (k, pk) ismeretében z — F "((k, pk),x) bemenetből ki 
tudná számítani x ősképet, akkor tudnánk egy Z" algoritmust konstruálni, 
amely invertálni képes F(pk, .) leképezést is: egy y — F(pk,x) bemenet 
esetén Z" véletlenszerűen választ egy k kulcsot, majd F"((k,pk),x) (— 
E(k,y)) bemenettel meghívja a Z algoritmust, amely kiszámítja y ősképét 
az sk titkos csapda kulcs nélkül, s ez ellentmondana annak, hogy F csapda 
permutáció. 

2. (G",F",1") álvéletlen permutáció: 
Ha egy Z algoritmus meg tudná különböztetni F " permutációt egy véletlen 
permutációtól, akkor tudnánk egy olyan Z" algoritmust konstruálni, amely 
képes megkülönböztetni E permutációt egy (egyenletes eloszlású) vélet- 
len permutációtól: Z" hozzáfér az O, 07! orákulumokhoz (amely vagy az 
E, D, vagy pedig a véletlen permutáció és inverze, amit jelöljön 77 illetve 
n71).Z" szimulálja Z környezetét, az F" és I" orákulumokat. Z" meghívja 
G publikusan elérhető kulcsgenerátort, s generál (pk,sk) véletlen kulcs- 
párt. 
0-kérés: amikor Z egy x kérésre F"((k, pk),x) választ várja, Z" x beme- 
nettel előbb kiszámítja v — F(pk,x) értéket, majd ezt mint kérést elküldi 
0 orákulumnak, s annak 0(v) válaszát küldi Z" válaszként Z kérésére. 
07! kérés: amikor Z egy z kérésre /"(sk,z) választ várja, Z" z bemenettel 
előbb kiszámítja w — /(sk,z) értéket, majd ezt mint kérést elküldi 07! 
orákulumnak, s annak 07!(w) válaszát küldi Z" válaszként Z kérésére. 
Amikor (0,07!) — (E,D), akkor Z az F",I" leképezéseknek megfelelő 
válaszokat kapja, míg amikor (0,07!) — (x, 771), akkor Z egy vélet- 
len permutációnak és inverzének megfelelő válaszokat kapja (ti. F egy 
permutáció, így 7 o F, 17! ol is egy (egyenletes eloszlású) véletlen per- 
mutáció és annak inverze). 


18. fejezet 


18.1. Feladat: 


Indirekt bizonyítást alkalmazhatunk mindkét részfeladat esetén: ha könnyű 
lenne a feladat, nem lenne a rejtjelező ind — cpa-biztonságú. 


A. függelék 
Kapcsolódó szabványok 











USA ANSI szabványok 
ANSI tt Tárgy 
X9.17 kulcsgondozás és véletlenszám-generálás 


X9.30-1 digitális aláírás algoritmus (DSA) 
X9.30-2 SHA hash függvény a DSA számára 
X9.31-1 RSA aláíró algoritmus 

X9.31-2 hash függvények az RSA számára 








X9.42 Diffi e-Hellman kulcscsere 

X9.45 attribútum-tanúsítványok 

X9.52 3DES 

x9.55 tanúsítványok és visszavonási listák 
X9.57 tanúsítvány menedzsment 

USA FIPS szabványok 

FIPS 4 Tárgy 





FIPS 46-2 " a DES leírása 

FIPS 74 irányelvek a DES használatához 

FIPS 81 a DES működési módjai 

FIPS 112 jelszavak használata 

FIPS 113 adat hitelesítés (CBC-MAC) 

FIPS 140-1  kriptomodulokkal kapcsolatos biztonsági követelmények 
FIPS 171 kulcsgenerálás 

FIPS 180-I . a SHA-1 hash függvény 

FIPS 185 kulcs-escrow (Clipper 8 SKIPJACK) 

FIPS 186 digitális aláírás szabvány (DSA és ECDSA) 
FIPS 196 partner hitelesítés 
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Nemzetközi ISO szabványok 





ISO tt 


Tárgy 





7498-2 
8372 
9594-8 
9796 
9797 
9798-1 
9798-2 
9798-3 
9798-4 
9798-S 
9979 
10116 
10118-1 
10118-2 
10118-3 
10118-4 
11770-1 
11770-2 
11770-3 
13888-1I 
13888-2 
13888-3 
14888-1 
14888-2 
14888-3 
15946 


OSI biztonsági architektúra 

64 bites blokkrejtjelezők működési módjai 
hitelesítési keretrendszer (X.509) 

digitális aláírás üzenet visszaállítással (pl. RSA) 
integritásvédelmi mechanizmusok (MAC) 
Partnerhitelesítés — bevezető 

— szimmetrikus rejtjelezéssel 

— nyilvános kulcsú technikákkal 

— kulcsolt egyirányú függvényekkel 

— zero-knowledge technikák felhasználásával 
kriptográfi ai algoritmus nyilvántartás 

n bites blokkrejtjelezők működési módjai 

hash függvények — bevezető 

— blokkrejtjelezőkből konstruált 

— dedikált algoritmusok 

— moduláris aritmetikára épülő 

kulcsgondozás — bevezető 

— szimmetrikus kulcsú technikák 

— aszimmetrikus kulcsú technikák 
letagadhatatlanság — bevezető 

— szimmetrikus kulcsú technikák 

— aszimmetrikus kulcsú technikák 

digitális aláírás (hash-and-sign technikák) — bevezető 
— identitás alapú mechanizmusok 

— tanúsítvány alapú mechanizmusok 

elliptikus görbékre épülő kriptográfi ai technikák 





A. Kapcsolódó szabványok 441 





PKCS (Public-Key Cryptography Standards) szabványok 





PKCS ítt Cím 





PKCSI RSA encryption standard 

PKCS 3 Diffi e-Hellman key-agreement standard 
PKCS 5 Password-based encryption standard 
PKCS 6 Extended-certifi cate syntax standard 
PKCS7 Cryptographic message syntax standard 
PKCS 8 Private-key information syntax standard 
PKCS9 Selected attribute types 

PKCS 10 Certifi cation reguest syntax standard 
PKCS 11 Cryptographic token interface standard 





Néhány kapcsolódó Internet RFC 





RFC tt Tárgy 





RFC2104 a HMAC algoritmus leírása 

RFC2246  TLS(Transport Layer Security) protokoll (SSL 3.1) 
RFC2401 az IPSec biztonági architektúra áttekintése 
RFC2402  - az AH protokoll leírása 

RFC2406  - az ESP protokoll leírása 

RFC2408  — az ISAKMP protokoll leírása (kulcscsere) 
RFC2409 — — az IKE protokoll leírása (kulcscsere) 





Néhány kapcsolódó GSM specifi káció 





3GPPTS§ Tárgy 





55.205 példák az A3 és az AS algoritmusokra (GSM MILENAGE) 
55.216 az A5/3 és a GEA3 (GPRS) rejtjelező algorimtusok leírása 





Irodalom 


[1] M. Abadi and R. Needham. Prudent engineering practice for cryp- 
tographic protocols. In IEEE Transactions on lát Engineering, 
2XI1), 1996. 


[2] M. Bellare and P. Rogaway. Random oracles are practical: A paradigm 
for designing efficient protocols. In Proceedings of the First Annual 
ACM Conference on Computer and Communications Security, 1993. 


[3] M. Bellare and P. Rogaway. Optimal asymmetric encryption — How 
to encrypt with RSA. In Advances in Cryptology — EUROCRYPT 94, 
Lecture Notes in Computer Science 950, Springer-Verlag, 1995. 


[4] M. Bellare and P. Rogaway. The exact security of digital signatures: 
How to sign with RSA and Rabin. In Advances in Cryptology - EU- 
ROCRYPT"96, Lecture Notes in Computer Science 1070, Springer- 
Verlag, 1996. 


[5] E. Biham and A. Shamir. Differential Cryptanalysis of the Data Enc- 
ryption Standard. Springer-Verlag, New. York, 1993. 


[6] D. Bleichenbacher. A chosen ciphertext attack against protocols based 
on the RSA encryption standard RSA PKCS t1. In Advances in Cryp- 
tology — CRYPTO "98, Lecture Notes in Computer Science 1462:1-12, 
Springer- Verlag, 1998. 


[7] M. Blum and S. Micali. How to generate cryptographically strong 
pseudo-random bits. SIAM Journal of Computing, 13(4):850-863, No- 
vember 1984. 


443 


444 
(81 
(91 


[10] 


nu 
(121 


[13] 


(141 


(15] 


[16] 


(171 


[18] 


119] 


[20] 


21] 


Irodalom 


D. Boneh. Twenty years of attacks on the RSA cryptosystem. Notices 
of the AMS, 46(2):203-213, 1999. 

M. Burrows, M. Abadi, and R. Needham. A logic of authentication. In 
Proceedings of the Royal Society, December 1989. 

R. Cramer and V. Shoup. A practical public key cryptosystem pro- 
bably secure against adaptive chosen ciphertext attack. In Advances 
of Cryptology — Crypto"98, Lecture Notes in Computer Science 1462, 
Springer-Verlag, 1998. 

J. Daemen and V. Rijmen. The Design of Rijndael. Springer-Verlag, 
2001. 

0. Goldreich, S. Goldwasser, and S. Micali. How to construct random 
functions. Journal of the ACM, 33(4):210-217, 1986. 

0. Goldreich and L. Levin. A hard predicate for all one-way functions. 
In Proceedings of the 21st Annual ACM Symposium on Theory of Com- 
Puting, 1989. 

0. Goldreich. Modern Cryptography, Probabilistic Proofs and Pseudo- 
randomness. Springer-Verlag, Algorithms and Combinatorics, Vol. 17, 
1998. 

A. Goldwasser and S. Micali. Probabilistic encryption. Journal of Com- 
Puter and System Sciences, 28:270-—299, April 1984. 

N. Koblitz. A Course in Number Theory and Cryptography. Graduate 
Texts in Mathematics, No. 114, Springer-Verlag, New York, 2nd edi- 
tion, 1994. 

N. Koblitz. Algebraic Aspects of Cryptography. Algorithms and Com- 
putation in Mathematics, Vol. 3, Springer- Verlag, New York, 1998. 

M. Luby and C. Rackoff. How to construct pseudorandom permuta- 
tions from pseudorandom functions. SIAM Journal of Computation, 
172), April 1988. 

A. Mehrotra and L. Golding. Mobility and security management in the 
GSM system and some proposed future improvements, In Proceedings 
of the IEEE, 86(7):1480—1496, July 1998. 

A. Menezes, P. van Oorschot, and S. Vanstone. Handbook of Applied 
Cryptography, CRC Press, 1996. 

Nemetz T. és Vajda I., Algoritmusos adatvédelem. Akadémiai Kiadó, 
1991. 


Irodalom 445 


[22] D. O"Mahony, M. Peirce, and H. Tewari. Electronic payment systems. 
Artech House Inc, Boston, 1997. 


(23] B. Preneel. Analysis and Design of Cryptographic Hash Functions. 
Doctoral Dissertation, Katholieke Universiteit Leuven, 1993. 


[24] B. Schneier. Applied Cryptography. Wiley, 1996. 
125] D. Stinson. Cryptography: Theory and Practice. CRC Press, 1995. 


[26] S. Vaudenay. Security flaws induced by CBC padding - Applications 
to SSL, IPSEC, WTLS, ...In Advances in Cryptology — EUROC- 
RYPT"02, Lecture Notes in Computer Science 2332, Springer-Verlag, 
2002. 


[27] D. Wagner and B. Schneier. Analysis of the SSL 3.0 protocol. In Pro- 
ceedings of the 2nd Usenix Workshop on Electronic Commerce, 1996. 


[28] P. Zimmermann. The Offi cial PGP User"s Guide. MIT Press, 1995. 


